Symfony mit zwei neuen Security-Releases
Keine Kommentare

Kris Wallsmith hat die Versionen 1.3.6 und 1.4.6 des Symfony-Frameworks freigegeben. Es handelt sich dabei um Security-Releases; ein Update wird dringend empfohlen.

Download
Download-Seite

Bei der

Kris Wallsmith hat die Versionen 1.3.6 und 1.4.6 des Symfony-Frameworks freigegeben. Es handelt sich dabei um Security-Releases; ein Update wird dringend empfohlen.

Download
Download-Seite

Bei der behobenen Schwachstelle handelt es sich um ein mögliches Diretory Traversal. Möglich wird dies durch die Tatsache, dass man seit den Versionen 1.3 bzw. 1.4 die Möglichkeit hat, gerenderte Templates zu cachen – auch wenn der URL GET-Parameter enthält. Mit Hilfe dieser Parameter wird ein Cache Key generiert, der oft dazu verwendet wird, die Verzeichnisstruktur aufzubauen, in der die Dateien abgelegt werden.

Da die Parameter jedoch nicht richtig entschärft wurden, könnte je nach Konfiguration der Cache-Settings in der settings.yml und der Dateirechte benannte Schwachstelle ausgenutzt werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -