安全问题
编辑该页面警告:你浏览的文档欧宝官网下载appob娱乐下载Symfony 3.0,不再维护。
读这个页面的更新版本Symfob娱乐下载ony 6.2(当前的稳定版本)。
安全问题
本文解释了Symfony Symfony处理安全问题的ob娱乐下载核心团队(Symfony是托管在主要的代码ob娱乐下载symfony / symfonyGit存储库)。
报告安全问题
如果你认为你已经找到了一个安全问题在Symfony中,不使用bug追踪器和不公开发布它。ob娱乐下载相反,必须发送到所有安全问题安全[在]symfony.cob娱乐下载om。邮件发送到这个地址转发到私人邮件列表Symfony核心团队。ob娱乐下载
解决的过程
对于每一个报告,我们第一次尝试确认漏洞。当它被证实,核心团队致力于解决以下步骤:
- 发送一个确认记者;
- 工作在一片;
- 从mitre.org得到CVE标识符;
写一个安全公告官方Symfonyob娱乐下载博客的弱点。这篇文章应该包含以下信息:
- 一个标题,它总是包括“安全释放”字符串;
- 脆弱的描述;
- 受影响的版本;
- 可能的利用;
- 补丁/升级/解决方案如何影响应用程序;
- CVE标识符;
- 学分。
- 发送补丁和公告的记者审查;
- 将补丁应用于所有Symfony的维护版本;ob娱乐下载
- 为所有受影响的版本包的新版本;
- 发布,Symfony官方ob娱乐下载博客(它还必须被添加到”“安全警告”_”一类);
- 更新安全咨询列表(见下文)。
- 更新公共安全报告数据库由FriendsOfPHP组织和维护使用的
安全:检查命令。
请注意
版本,包括安全问题不应该在周六或周日,除非脆弱性已经公开发布。
请注意
虽然我们正在一个补丁,请不要公开揭示的问题。
请注意
决议需要几天到一个月之间根据其复杂性和协调与下游项目(见下一段)。
与下游开源项目合作
Symob娱乐下载fony被许多大型开源项目一样,我们标准化Symfony的安全团队合作与下游项目安全问题。工作过程如下:
- Symfony安全团ob娱乐下载队后承认一个安全问题,它会立即向下游项目安全团队发送电子邮件通知他们的问题;
- Symfob娱乐下载ony安全团队创建一个私人Git存储库来缓解在这个问题上的合作和访问这些存储库的Symfony安全团队,Symfony的贡献者所影响的问题,并分别代表下游项目;
- 所有人访问私人存储库工作在一个解决方案来解决这个问题通过拉请求,代码检查,和评论;
- 一旦找到解决,所有参与项目协作找到最好的联合发布日期(不能保证所有版本将在同一时间,但我们将努力使他们大约在同一时间)。当问题是不知道被利用在野外,一段两周似乎是一个合理的时间。
下游的列表项目参与这一过程保持尽可能小,以便更好地管理的流程之前披露的机密信息。因此,项目包括在Symfony安全团队的唯一的自由裁量权。ob娱乐下载
截至今天,以下项目验证这个过程和下游项目的一部分包含在这个过程:
- Drupal(版本通常发生在星期三)
- eZPublish
安全警告
提示
你可以检查你使用Symfony应用已知ob娱乐下载的安全漏洞安全:检查命令(见如何检查你的依赖关系已知的安全漏洞吗)。
这部分指标安全漏洞被固定在Symfony的版本中,从Symfony 1.0.0:ob娱乐下载
- 2015年11月23日:cve - 2015 - 8125:潜在的远程时间攻击漏洞安全记得我服务(2.3.35 2.6.12和2.7.7)
- 2015年11月23日:cve - 2015 - 8124:会话固定在“记住我”登录功能(2.3.35 2.6.12和2.7.7)
- 2015年5月26日:cve - 2015 - 4050: ESI未经授权的访问(ob娱乐下载Symfony 2.3.29 2.5.12和2.6.8)
- 2015年4月1日:cve - 2015 - 2309:不安全的方法在请求类(ob娱乐下载Symfony 2.3.27 2.5.11和2.6.6)
- 2015年4月1日:cve - 2015 - 2308: Esi代码注入(ob娱乐下载Symfony 2.3.27 2.5.11和2.6.6)
- 2014年9月3日:cve - 2014 - 6072: CSRF漏洞在网络分析器(ob娱乐下载Symfony 2.3.19 2.4.9和2.5.4)
- 2014年9月3日:cve - 2014 - 6061:安全问题当解析授权头(ob娱乐下载Symfony 2.3.19 2.4.9和2.5.4)
- 2014年9月3日:应急服务国际公司的cve - 2014 - 5245:直接访问url后面一个可信的代理(ob娱乐下载Symfony 2.3.19 2.4.9和2.5.4)
- 2014年9月3日:cve - 2014 - 5244:拒绝服务的恶意HTTP主机头(ob娱乐下载Symfony 2.3.19 2.4.9和2.5.4)
- 2014年7月15日:安全版本:Symfony 2.3.18ob娱乐下载、2.4.8 2.5.2释放(cve - 2014 - 4931)
- 2013年10月10日:安全版本:Symfony 2.0.25ob娱乐下载、2.1.13 2.2.9, 2.3.6释放(cve - 2013 - 5958)
- 2013年8月7日:安全版本:Symfony 2.0.24ob娱乐下载 2.1.12,经过2.2.5、2.3.3释放(cve - 2013 - 4751和cve - 2013 - 4752)
- 2013年1月17日:安全释放:Symfony 2.0.2ob娱乐下载2和2.1.7释放(cve - 2013 - 1348和cve - 2013 - 1397)
- 2012年12月20日:安全释放:Symfony 2.0.2ob娱乐下载0和2.1.5节讨论(cve - 2012 - 6431和cve - 2012 - 6432)
- 2012年11月29日:安全释放:Symfony 2.0.1ob娱乐下载9和2.1.4
- 2012年11月25日:安全释放:symfony 1.4.2ob娱乐下载0释放(cve - 2012 - 5574)
- 2012年8月28日:安全释放:Symfony 2.0.1ob娱乐下载7释放
- 2012年5月30日:安全释放:symfony 1.4.1ob娱乐下载8释放(cve - 2012 - 2667)
- 2012年2月24日:安全释放:Symfony 2.0.1ob娱乐下载1释放
- 2011年11月16日:安全释放:Symfony 2.0.6ob娱乐下载
- 2011年3月21日:ob娱乐下载symfony 1.3.10 1.4.10:安全释放
- 2010年6月29日:安全释放:symfony 1.3.6ob娱乐下载 1.4.6
- 2010年5月31日:ob娱乐下载symfony 1.3.5和1.4.5
- 2010年2月25日:安全释放:1.2.12 1.3.3和3
- 2010年2月13日:ob娱乐下载symfony 1.3.2和1.4.2
- 2009年4月27日:ob娱乐下载symfony:相对于1.2.6安全修复
- 2008年10月3日:ob娱乐下载symfony 1.1.4:发布安全补丁
- 2008年5月14日:ob娱乐下载symfony 1.0.16出去了
- 2008年4月1日:ob娱乐下载symfony 1.0.13出去了
- 2008年3月21日:ob娱乐下载symfony 1.0.12(最后)!
- 2007年6月25日:ob娱乐下载symfony 1.0.5发布(安全修复)
