Se publican las actualizaciones Symfony de seguridad 2.7.48, 2.8.41, 3.3.17, 3.4.11 y 4.0.11

El proyecto Symfony ha anunciado el descubrimiento de varios problemas de seguridad que potencialmente podrían introducir vulnerabilidades en tus aplicaciones. Pincha cada enlace para conocer más detalles técnicos sobre cada una de ellas:

  • CVE-2018-11406: si has configurado la opción invalidate_session para no invalidar la sesión cuando el usuario se desconecta, puede producirse un error de tipo "CSRF token fixation". Ahora se borran todos los tokens CSRF siempre.
  • CVE-2018-11408: es una continuación del error que corregimos el pasado mes de noviembre (ver detalles) pero en este caso afecta solo al servicio security.http_utils.
  • CVE-2018-11386: si guardas las sesiones en una base de datos mediante la clase PDOSessionHandler y utilizas una determinada configuración, la aplicación puede verse afectada por un ataque de tipo denegación de servicio.
  • CVE-2018-11385: ataque de tipo "session fixation" que permite a un atacante impersonar a otro usuario mediante algún ID de sesión anterior.
  • CVE-2018-11407: es una continuación del error que corregimos en mayo de 2016 (ver detalles) y que permite, en ciertas circunstancias, el accesso no autorizado mediante LDAP usando una contraseña vacía.

Toda las vulnerabilidades han sido resueltas en las nuevas versiones de Symfony publicadas después de estos anuncios: 2.7.48, 2.8.41, 3.3.17, 3.4.11 y 4.0.11.

Comentarios

Publicada el

25 de mayo de 2018

Proyectos Symfony destacados

La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.