漏洞信息详情
Sensio Labs Symfony 拒绝服务漏洞
- CNNVD编号:CNNVD-201605-677
- 危害等级: 高危
- CVE编号: CVE-2016-4423
- 漏洞类型: 资源管理错误
- 发布时间: 2016-05-30
- 威胁类型: 远程
- 更新时间: 2016-06-02
- 厂 商: sensiolabs
- 漏洞来源:
漏洞简介
Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。
Sensio Labs Symfony的Component/Security/Http/Firewall/UsernamePasswordFormAuthenticationListener.php文件中的‘attemptAuthentication’函数存在安全漏洞,该漏洞源于程序没有限制存储在会话中的用户名长度。远程攻击者可通过发送一系列带有较长的不存在的用户名的身份验证请求利用该漏洞造成拒绝服务(会话存储消耗)。以下版本受到影响:Sensio Labs Symfony 2.3.41之前版本,2.7.13之前2.7.x版本,2.8.6之前2.8.x版本,3.0.6之前3.0.x版本。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://symfony.com/blog/cve-2016-4423-large-username-storage-in-session
参考网址
来源:DEBIAN
链接:http://www.debian.org/security/2016/dsa-3588
来源:symfony.com
链接:https://symfony.com/blog/cve-2016-4423-large-username-storage-in-session
来源:github.com
链接:https://github.com/symfony/symfony/pull/18733
来源:www.auscert.org.au
链接:https://www.auscert.org.au/render.HTML?it=35146
受影响实体
- Sensiolabs Symfony:3.0.5
- Sensiolabs Symfony:3.0.4
- Sensiolabs Symfony:3.0.3
- Sensiolabs Symfony:3.0.2
- Sensiolabs Symfony:3.0.1
补丁
- Sensio Labs Symfony 拒绝服务漏洞的修复措施
评论