Symfony mit zwei neuen Security-Releases
Keine Kommentare

Kris Wallsmith hat die Versionen 1.3.6 und 1.4.6 des Symfony-Frameworks freigegeben. Es handelt sich dabei um Security-Releases; ein Update wird dringend empfohlen.

Download
Download-Seite

Bei der

Kris Wallsmith hat die Versionen 1.3.6 und 1.4.6 des Symfony-Frameworks freigegeben. Es handelt sich dabei um Security-Releases; ein Update wird dringend empfohlen.

Download
Download-Seite

Bei der behobenen Schwachstelle handelt es sich um ein mögliches Diretory Traversal. Möglich wird dies durch die Tatsache, dass man seit den Versionen 1.3 bzw. 1.4 die Möglichkeit hat, gerenderte Templates zu cachen – auch wenn der URL GET-Parameter enthält. Mit Hilfe dieser Parameter wird ein Cache Key generiert, der oft dazu verwendet wird, die Verzeichnisstruktur aufzubauen, in der die Dateien abgelegt werden.

Da die Parameter jedoch nicht richtig entschärft wurden, könnte je nach Konfiguration der Cache-Settings in der settings.yml und der Dateirechte benannte Schwachstelle ausgenutzt werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
X
- Gib Deinen Standort ein -
- or -