FOSUserBundle:熵生成的令牌丢失
2014年9月5日·发表的克利斯朵夫Coevoet
影响版本
1.0所有。1.1 x。1.2 x。1.3 x和。x版本的FOSUserBundle受此影响安全问题。2.0。x开发版本不受影响。
这个问题已经固定在FOSUserBundle 1.3.5。请注意,不提供补丁FOSUserBundle 1.0, 1.1和1.2不再维护。
描述
因为使用的base_convert
失去的精确度,大投入,熵产生的令牌FOSUserBundle和密码重置邮件确认丢失。这使得这些令牌随机比他们预期的要少得多,所以没有密码的安全。
决议
2.0中使用的令牌生成逻辑。x分行根据base64编码补丁。这改变字符的范围中使用的令牌。所产生的任何路线占位符将匹配一个令牌FOSUserBundle必须更新允许破折号,这是不允许的\ w
regex。一个\ w +
要求所以应该成为(\ w \] +
。
学分
我要感谢Andreas Forsblom报告这个安全问题和乔纳森·麦克莱恩的贡献实现补丁。
发表在#欧宝体育平台怎么样
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。