Symfony mit zwei neuen Security-Releases
Kommentare

Kris Wallsmith hat die Versionen 1.3.6 und 1.4.6 des Symfony-Frameworks freigegeben. Es handelt sich dabei um Security-Releases; ein Update wird dringend empfohlen.

Download
Download-Seite

Bei der

Kris Wallsmith hat die Versionen 1.3.6 und 1.4.6 des Symfony-Frameworks freigegeben. Es handelt sich dabei um Security-Releases; ein Update wird dringend empfohlen.

Download
Download-Seite

Bei der behobenen Schwachstelle handelt es sich um ein mögliches Diretory Traversal. Möglich wird dies durch die Tatsache, dass man seit den Versionen 1.3 bzw. 1.4 die Möglichkeit hat, gerenderte Templates zu cachen – auch wenn der URL GET-Parameter enthält. Mit Hilfe dieser Parameter wird ein Cache Key generiert, der oft dazu verwendet wird, die Verzeichnisstruktur aufzubauen, in der die Dateien abgelegt werden.

Da die Parameter jedoch nicht richtig entschärft wurden, könnte je nach Konfiguration der Cache-Settings in der settings.yml und der Dateirechte benannte Schwachstelle ausgenutzt werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -