ASA-2019-00226 – Symfony: Adiciona um separador no hash do cookie lembrar-me


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00226

Identificador(es)

ASA-2019-00226, CVE-2019-10911

Título

Adiciona um separador no hash do cookie lembrar-me

Fabricante(s)

Sensio Labs

Produto(s)

Symfony

Versão(ões) afetada(s)

Symfony 2.7.0 anterior à 2.7.50
Symfony 2.8.0 anterior à 2.8.49
Symfony 3.4.0 anterior à 3.4.25
Symfony 4.1.0 anterior à 4.1.11
Symfony 4.2.0 anterior à 4.2.6

Versão(ões) corrigida(s)

Symfony 2.7.51
Symfony 2.8.50
Symfony 3.4.26
Symfony 4.2.7

Prova de conceito

Desconhecido

Descrição

Isso corrige situações em que parte de um tempo de expiração em um cookie pode ser considerada parte do nome de usuário ou parte do nome de usuário pode ser considerada parte do tempo de expiração. Um atacante pode modificar o cookie lembrar-me e autenticar como um usuário diferente. Este ataque só é possível se a funcionalidade lembrar-me estiver habilitada e os dois usuários compartilharem um hash de senha ou hashes de senha (por exemplo, UserInterface::getPassword ()) são nulos para todos os usuários (o que é válido se as senhas forem verificadas por um sistema externo, por exemplo, um SSO).

Detalhes técnicos

Desconhecido

Créditos

Jon Cave

Referência(s)

CVE-2019-10911: Add a separator in the remember me cookie hash
https://symfony.com/blog/cve-2019-10911-add-a-separator-in-the-remember-me-cookie-hash

Drupal core – Moderately critical – Multiple Vulnerabilities – SA-CORE-2019-005
https://www.drupal.org/sa-core-2019-005

CVE-2019-10911
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10911

CVE-2019-10911
https://nvd.nist.gov/vuln/detail/CVE-2019-10911

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 27 abril 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.