Se publican las actualizaciones Symfony de seguridad 2.7.48, 2.8.41, 3.3.17, 3.4.11 y 4.0.11
El proyecto Symfony ha anunciado el descubrimiento de varios problemas de seguridad que potencialmente podrían introducir vulnerabilidades en tus aplicaciones. Pincha cada enlace para conocer más detalles técnicos sobre cada una de ellas:
- CVE-2018-11406: si has configurado la opción
invalidate_session
para no invalidar la sesión cuando el usuario se desconecta, puede producirse un error de tipo "CSRF token fixation". Ahora se borran todos los tokens CSRF siempre. - CVE-2018-11408: es una continuación del error que corregimos el pasado
mes de noviembre (ver detalles) pero en este caso afecta solo al servicio
security.http_utils
. - CVE-2018-11386: si guardas las sesiones en una base de datos mediante
la clase
PDOSessionHandler
y utilizas una determinada configuración, la aplicación puede verse afectada por un ataque de tipo denegación de servicio. - CVE-2018-11385: ataque de tipo "session fixation" que permite a un atacante impersonar a otro usuario mediante algún ID de sesión anterior.
- CVE-2018-11407: es una continuación del error que corregimos en mayo de 2016 (ver detalles) y que permite, en ciertas circunstancias, el accesso no autorizado mediante LDAP usando una contraseña vacía.
Toda las vulnerabilidades han sido resueltas en las nuevas versiones de Symfony publicadas después de estos anuncios: 2.7.48, 2.8.41, 3.3.17, 3.4.11 y 4.0.11.
Comentarios
Proyectos Symfony destacados
La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más
Síguenos en @symfony_es para acceder a las últimas noticias.