Project

General

Profile

Backport(バックポート) #3266

symfony1.4.20リリースされたsecurity fixを取り込む

Added by Mutsumi Imamura almost 12 years ago. Updated over 11 years ago.

Status:
Fixed(完了)
Priority:
Normal(通常)
Assignee:
Target version:
Start date:
2012-12-04
Due date:
2013-01-10
% Done:

100%


Description

概要

symfony にて提供されているフォームフレームワークには、ファイルの送信をおこなう際のリクエストの検証に不備があり、特定の形式のパラメータを含むことで、 Web アプリケーションが設置されているサーバ上のファイル をアップロードすることができてしまうという問題があります。
この問題は symfony 1.4.20 にて修正され、パッチが用意されているのでパッチを当て修正を行う。

再現バージョン

OpenPNE 3.8.3 以下、 OpenPNE 3.6.6 以下、 OpenPNE 3.4.21 以下、 OpenPNE 3.2.7.6 以下、 OpenPNE 3.0.8.5 以下のすべてのバージョン

Way to fix (修正内容)

http://trac.symfony-project.org/changeset/33598?format=diff&new=33598
で取得できるパッチを当てる

関連情報

  • 【緊急告知】すべてのバージョンの OpenPNE 3 における、サーバ上ファイル漏洩の脆弱性についての注意喚起 (OPSA-2012-002)

Related issues

Related to OpenPNE 3 - Bug(バグ) #3265: symfony1.4.20リリースされたsecurity fixを取り込む New(新規) 2012-12-04

Associated revisions

Revision ef743df4 (diff)
Added by kaoru n almost 12 years ago

(refs #3266) fixed the possibility to fake a file upload by symfony 1.4.

History

#1 Updated by Mutsumi Imamura almost 12 years ago

  • Tracker changed from Bug(バグ) to Backport(バックポート)

#2 Updated by kaoru n almost 12 years ago

  • Status changed from New(新規) to Accepted(着手)
  • Assignee set to kaoru n

#3 Updated by kaoru n almost 12 years ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

https://github.com/openpne/OpenPNE3/pull/64
プルリクエストしました。

#4 Updated by Kousuke Ebihara almost 12 years ago

  • Status changed from Pending Review(レビュー待ち) to Pending Testing(テスト待ち)
  • % Done changed from 50 to 70

#5 Updated by 開 石切山 over 11 years ago

  • Status changed from Pending Testing(テスト待ち) to Fixed(完了)
  • % Done changed from 70 to 100

Also available in: Atom PDF