FOSUserBundle:熵生成的令牌丢失

影响版本

1.0所有。1.1 x。1.2 x。1.3 x和。x版本的FOSUserBundle受此影响安全问题。2.0。x开发版本不受影响。

这个问题已经固定在FOSUserBundle 1.3.5。请注意,不提供补丁FOSUserBundle 1.0, 1.1和1.2不再维护。

描述

因为使用的base_convert失去的精确度,大投入,熵产生的令牌FOSUserBundle和密码重置邮件确认丢失。这使得这些令牌随机比他们预期的要少得多,所以没有密码的安全。

决议

2.0中使用的令牌生成逻辑。x分行根据base64编码补丁。这改变字符的范围中使用的令牌。所产生的任何路线占位符将匹配一个令牌FOSUserBundle必须更新允许破折号,这是不允许的\ wregex。一个\ w +要求所以应该成为(\ w \] +。

学分

我要感谢Andreas Forsblom报告这个安全问题和乔纳森·麦克莱恩的贡献实现补丁。