Se publican las actualizaciones de seguridad 2.3.35, 2.6.12 y 2.7.7

Se acaban de publicar varias versiones de Symfony para corregir los errores de seguridad CVE-2015-8125 y CVE-2015-8124 relacionados con la funcionalidad Remember Me.

Versiones afectadas

Estos errores afectan al componente de seguridad de todas las versiones Symfony cuando se utiliza la funcionalidad "Remember Me" o la autenticación HTTP Digest.

Las versiones publicadas corrigen el error para Symfony 2.3, 2.6 y 2.7. Las ramas 2.4 y 2.5 se queda sin corregir porque su desarrollo finalizó hace varios meses. Las versiones 2.8 y 3.0 han sido corregidas en sus versiones de desarrollo porque todavía no se han lanzado de manera estable.

Descripción del problema

CVE-2015-8125

Se ha descubierto una vulnerabilidad que potencialemnte podría explotarse mediante un ataque de tipo timing attack. La principal clase afectada es PersistentTokenBasedRememberMeServices del componente de seguridad. Este error podría afectar también a DigestAuthenticationListener (del firewall usado en la autenticación HTTP digest) y en la implementación "legacy" del proveedor de tokens CSRF del componente de formularios.

CVE-2015-8124

Se ha descubierto una vulnerabilidad que potencialemnte podría explotarse mediante un ataque de tipo session fixation. Un atacante que conozca el ID de la sesión del usuario, podría llegar a impersonarlo si la funcionalidad "Remember Me" está activada.

Solución

CVE-2015-8125

Como es habitual en los ataques de tipo "timing attack", la solución ha consistido en usar la función de comparación hash_equals() de PHP (o su equivalente en Symfony si usas una versión muy vieja de PHP).

CVE-2015-8124

La solución consiste en migrar la sesión del usuario después de que ese acceda a la aplicación con éxito mediante la funcionalidad "Remember Me".

Autores de las soluciones

El primer problema fue reportado por Sebastian Stok y corregido por Christian Flothmann. El segundo problema fue reportado por RedTeam Pentesting GmbH y solucionado por Sergey Novikov y Christian Flothmann.

Fuente: CVE-2015-8125: Potential Remote Timing Attack Vulnerability in Security Remember-Me Service, CVE-2015-8124: Session Fixation in the "Remember Me" Login Feature

Comentarios

  1. A considerar, gracias Javier

    Gabriel Gallardo el 26 de noviembre de 2015, 14:52:17

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Publicada el

23 de noviembre de 2015

Etiquetas

Proyectos Symfony destacados

La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.