Symfony 1.4.18 schließt Sicherheitslücke durch DB Session Fixation
Kommentare

Symfony-Erfinder Fabien Potencier hat bekanntgegeben, dass eine fehlerhafte Methode im Symfony Framework zu ungewünschten Datenbankzugriffen führen kann:

„The regenerate() method as implemented by

Symfony-Erfinder Fabien Potencier hat bekanntgegeben, dass eine fehlerhafte Methode im Symfony Framework zu ungewünschten Datenbankzugriffen führen kann:

„The regenerate() method as implemented by database backed session classes do not persist the current session data from request memory before regenerating session ID, leaving shadow copy in the database as it was at the beginning of the request (still authenticated in the „logout“ case). Passing to &#36destroy=true to regenerate mitigates the attack, by explicitly removing shadow copy.“

Dieser Patch ist nun fester Bestandteil im Upgrade auf Symfony 1.4.18. Letzteres könnt Ihr via Subversion oder PEAR installieren, was im Blog genauer beschrieben wird. Weitere Änderungen entnehmt Ihr dem Changelog.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -