プロジェクト

全般

プロフィール

Bug(バグ) #3265

symfony1.4.20リリースされたsecurity fixを取り込む

Mutsumi Imamura約6年前に追加. ほぼ2年前に更新.

ステータス:
New(新規)
優先度:
Normal(通常)
担当者:
-
対象バージョン:
開始日:
2012-12-04
期日:
進捗率:

0%

3.6 で発生するか:
Yes (はい)
3.8 で発生するか:
Yes (はい)

説明

概要

symfony にて提供されているフォームフレームワークには、ファイルの送信をおこなう際のリクエストの検証に不備があり、特定の形式のパラメータを含むことで、 Web アプリケーションが設置されているサーバ上のファイル をアップロードすることができてしまうという問題があります。
この問題は symfony 1.4.20 にて修正され、パッチが用意されているのでパッチを当て修正を行う。

再現バージョン

OpenPNE 3.8.3 以下、 OpenPNE 3.6.6 以下、 OpenPNE 3.4.21 以下、 OpenPNE 3.2.7.6 以下、 OpenPNE 3.0.8.5 以下のすべてのバージョン

Way to fix (修正内容)

http://trac.symfony-project.org/changeset/33598?format=diff&new=33598
で取得できるパッチを当てる

関連情報

  • 【緊急告知】すべてのバージョンの OpenPNE 3 における、サーバ上ファイル漏洩の脆弱性についての注意喚起 (OPSA-2012-002)

関連するチケット

関連している OpenPNE 3 - Backport(バックポート) #3266: symfony1.4.20リリースされたsecurity fixを取り込む Fixed(完了) 2012-12-04 2013-01-10
関連している OpenPNE 3 - Backport(バックポート) #3267: symfony1.4.20リリースされたsecurity fixを取り込む Fixed(完了) 2012-12-04 2012-12-13

履歴

#1 Kousuke Ebihara約6年前に更新

開発版においては symfony のバージョンアップをおこなうことをまず検討してください。

#2 kaoru nishizoeほぼ2年前に更新

  • 対象バージョンOpenPNE 3.9.0-old から OpenPNE 3.9.0 に変更

他の形式にエクスポート: Atom PDF