安全问题

编辑该页面

警告:你浏览的文档欧宝官网下载appob娱乐下载Symfony 4.1,不再维护。

这个页面的更新版本Symfob娱乐下载ony 6.2(当前的稳定版本)。

安全问题

本文解释了Symfony Symfony处理安全问题的ob娱乐下载核心团队(Symfony是托管在主要的代码ob娱乐下载symfony / symfonyGit存储库)。

报告安全问题

如果你认为你已经找到了一个安全问题在Symfony中,不使用bug追踪器和不公开发布它。ob娱乐下载相反,必须发送到所有安全问题安全[在]symfony.cob娱乐下载om。邮件发送到这个地址转发到私人邮件列表Symfony核心团队。ob娱乐下载

解决的过程

对于每一个报告,我们第一次尝试确认漏洞。当它被证实,核心团队致力于解决以下步骤:

  1. 发送一个确认记者;
  2. 工作在一片;
  3. 得到一个CVE标识符mitre.org;
  4. 写一个安全公告官方Symfonyob娱乐下载博客的弱点。这篇文章应该包含以下信息:

    • 一个标题,它总是包括“安全释放”字符串;
    • 脆弱的描述;
    • 受影响的版本;
    • 可能的利用;
    • 补丁/升级/解决方案如何影响应用程序;
    • CVE标识符;
    • 学分。
  5. 发送补丁和公告的记者审查;
  6. 将补丁应用于所有Symfony的维护版本;ob娱乐下载
  7. 为所有受影响的版本包的新版本;
  8. 发布,Symfony官方ob娱乐下载博客(它还必须被添加到”“安全警告”_”一类);
  9. 更新公共安全报告数据库由FriendsOfPHP组织和维护使用的安全:检查命令。

请注意

版本,包括安全问题不应该在周六或周日,除非脆弱性已经公开发布。

请注意

虽然我们正在一个补丁,请不要公开揭示的问题。

请注意

决议需要几天到一个月之间根据其复杂性和协调与下游项目(见下一段)。

与下游开源项目合作

Symob娱乐下载fony被许多大型开源项目一样,我们标准化Symfony的安全团队合作与下游项目安全问题。工作过程如下:

  1. Symfony安全团ob娱乐下载队后承认一个安全问题,它会立即向下游项目安全团队发送电子邮件通知他们的问题;
  2. Symfob娱乐下载ony安全团队创建一个私人Git存储库来缓解在这个问题上的合作和访问这些存储库的Symfony安全团队,Symfony的贡献者所影响的问题,并分别代表下游项目;
  3. 所有人访问私人存储库工作在一个解决方案来解决这个问题通过拉请求,代码检查,和评论;
  4. 一旦找到解决,所有参与项目协作找到最好的联合发布日期(不能保证所有版本将在同一时间,但我们将努力使他们大约在同一时间)。当问题是不知道被利用在野外,一段两周似乎是一个合理的时间。

下游的列表项目参与这一过程保持尽可能小,以便更好地管理的流程之前披露的机密信息。因此,项目包括在Symfony安全团队的唯一的自由裁量权。ob娱乐下载

截至今天,以下项目验证这个过程和下游项目的一部分包含在这个过程:

  • Drupal(版本通常发生在星期三)
  • eZPublish

问题严重程度

为了确定一个安全问题的严重性,我们考虑任何潜在攻击的复杂性,脆弱性的影响,也有多少项目很可能影响。这得分15然后转换成水平:低、中、高、关键或特殊。

攻击的复杂性

介于1和5的分数取决于复杂的是利用这个安全漏洞

  • 4 - 5基本:攻击者必须遵循一组简单的步骤
  • 2 - 3复杂:攻击者必须遵循不直观的步骤与高水平的依赖关系
  • 1 - 2高:一个成功的攻击取决于条件超出攻击者的控制。就是一个成功的攻击无法完成,但是需要攻击者投资于一些可测量的工作量也在准备或执行对脆弱的组件在一个成功的攻击可以预期。

影响

从以下方面成绩加在一起产生一个分数。影响的得分限制在6。每个区域得分介于0和4。

  • 完整性:这个漏洞导致非公开数据访问吗?如果是这样的话,攻击者可以控制数据披露吗?(0 - 4)
  • 披露:可以利用允许系统数据(或数据处理系统)会受到损害吗?如果是这样的话,攻击者可以控制修改吗?(0 - 4)
  • 代码执行:漏洞允许终端用户系统上执行任意代码,或服务器上运行吗?(0 - 4)
  • 可用性:服务或应用程序的可用性受到影响吗?是减少可用性或全损的可用性服务/应用程序?可用性包括网络服务(例如,数据库)或资源消耗网络带宽等处理器周期,或磁盘空间。(0 - 4)

受影响的项目

从以下方面成绩加在一起产生一个分数。影响项目的得分限制在4。

  • 它会影响部分或全部使用组件?(1 - 2)
  • 组件的使用,会导致这样的事已经认为是糟糕的实践?(0 - 1)
  • /受欢迎是多么常见的组件(例如控制台vs HttpFoundation vs锁)?(0 - 2)
  • 许多著名的开源项目使用Symfony的影响,需要协调的版本?ob娱乐下载(0 - 1)

得分总数

  • 攻击的复杂性:1 - 4
  • 影响:1 - 6
  • 影响项目:1 - 4

严重级别

  • 低:1 - 5
  • 介质:6 - 10
  • 高:11 - 12
  • 关键:13 - 14
  • 例外:15

安全警告

提示

你可以检查你使用Symfony应用已知ob娱乐下载的安全漏洞安全:检查命令(见如何检查你的依赖关系已知的安全漏洞吗)。

检查安全警告博客类别的所有安全漏洞的列表是固定在Symfony的版本中,从Symfony 1.0.0。ob娱乐下载

这项工作,包括代码示例,许可下Creative Commons冲锋队3.0许可证。