cve - 2020 - 5275:所有需要“access_control”规则当防火墙使用一致的策略
2020年3月30日·发表的
法比安效力
法比安效力
影响版本
ob娱乐下载Symfony 4.4.0 4.4.6, 5.0.0 5.0.6版本的Symfony ErrorHandler组件受此影响安全问题。
这个问题已经固定在Symfony 4.4.7 5.0.7ob娱乐下载。
描述
在Syob娱乐下载mfony 4.4.0之前,当一个防火墙检查访问控制规则(使用一致的策略),它遍历所有属性和授权访问只有在规则所有调用accessDecisionManager决定授予访问权限。
Symfonob娱乐下载y 4.4.0,引入了一个错误,防止检查尽快的属性accessDecisionManager决定授权访问一个属性。
决议
的accessDecisionManager现在被称为与所有属性,允许一致策略被应用于每个属性。
这个问题是可用的补丁在这里4.4分支。
学分
我要感谢安东尼奥·j·加西亚Lagar报告&罗宾Chalas解决这个问题。
发表在#安全警告
发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。ob娱乐下载
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。