Proposer une solution

Mises à jour de sécurité pour Symfony

02/04/2015
Mises à jour de sécurité pour Symfony

L’équipe de développement du framework MVC écrit en PHP propose deux patchs et trois nouvelles versions pour combler deux failles de sécurités observées dans Synfony. La première concerne l’injection de code ESI dans le framework et la seconde corrige une classe permettant une possible attaque « man in the middle ».

Injection de code ESI

Cette faille, estampillée CVE-2015-2308 affecte toutes les versions de Synfony de la branche 2.X. C’est le composant Symfony HttpKernel qui est en cause.

Les applications supportant ESI (et SSI pour Symfony 2.6) ayant activé et utilisant le reverse proxy intégré de Synfony sont vulnérables à l’injection de code PHP. Un utilisateur malicieux peut donc injecter du code qui pourrait être exécuté par le serveur. Une exploitation possible de la faille permettrait à des sites web vulnérables de procéder à une attaque de type « Cross-Site Scripting ». Cette dernière permettrait de passer du code dans une variable soumise par un utilisateur.

La résolution du problème est contenue dans un patch, qui implémente une séquence d’échappement beaucoup plus strict sur les valeurs soumises par les utilisateurs.

Méthodes de la classe Request dangereuses

Cette faille estampillée CVE-2015-2309 concerne des méthodes de la classe Request. Elle affecte elle aussi toutes les versions de la branche 2.X via le composant Symfony HttpFoundation.

Cette classe fournit un mécanisme qui assure que les valeurs d’entêtes HTTP non sûres provenant de clients non sûrs ne sont pas prises en compte. Malheureusement, ce mécanisme prend pour hypothèse que l’adresse distante est toujours de confiance si au moins un proxy sûr est contenu dans la requête. Cela permet la mise en place d’une attaque du type « man-in-the-middle » entre le dernier proxy de confiance et le serveur web.

Les méthodes impactées sont les suivantes : getPort(), isSecure(), getHost(), et getClientIps(). La correction disponible dans un patch modifie le comportement de ces méthodes qui vérifient maintenant la sûreté de l’adresse distante.

De nouvelles versions disponibles

En plus de patchs mis à disposition, Symfony est mis à jour en version 2.3.27, 2.5.11, et 2.6.6. Les versions  2.0, 2.1, 2.2, et 2.4 n’étant plus maintenues, leurs utilisateurs sont donc fortement invités à migrer leurs installations vers les versions les plus récentes.

 

Sources :

symfony-2-5-11-released

symfony-2-6-6-released

symfony-2-3-27-released

Solutions

comments powered by Disqus

Les dernières actualités

top
Guide Os
Voir toutes les actualités Actualités #Guideoss
  • 16/12/2020

    Le moteur Docker disponible en version 20.10

    La nouvelle version majeure de Docker Engine ajoute de nombreuses nouvelles fonctionnalités, dont la prise en charge des cgroups V2, et nombreuses fonctionnalités de la version expérimentale.

    Lire la suite
  • 15/12/2020

    Les nouveautés de Drupal 9.1

    Sortie au début du mois, la nouvelle évolution du gestionnaire de contenu libre Drupal embarque quelques changements notables. La prise en charge de PHP 8 entraine aussi quelques modifications techniques.

    Lire la suite
  • 07/12/2020

    KOGITO 1.0 pour la gestion des processus métier

    La notre plateforme d'automatisation dans le nuage pour les entreprises franchit une étape importante avec la publication de la version 1.0. Cette mise à jour apporte de nouvelles fonctionnalités dans la génération des codes et la reprise à chaud.

    Lire la suite
  • 04/12/2020

    OroCommerce intègre Elastic Suite, grâce à Smile !


    Fort de 6 ans d’expérience sur la personnalisation du catalogue et l’optimisation de la recherche produits, l’équipe R&D Smile a étendu son module phare Elastic Suite à la plateforme OroCommerce. Basé sur le très puissant moteur de recherche Elastic Search, le module éprouvé auprès de plus de 1 200 marchands était jusque-là un des modules les plus utilisés de l’écosystème Magento avec 575 000 téléchargements dans le monde.

    Lire la suite