For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00226
Identificador(es)
ASA-2019-00226, CVE-2019-10911
Título
Adiciona um separador no hash do cookie lembrar-me
Fabricante(s)
Sensio Labs
Produto(s)
Symfony
Versão(ões) afetada(s)
Symfony 2.7.0 anterior à 2.7.50
Symfony 2.8.0 anterior à 2.8.49
Symfony 3.4.0 anterior à 3.4.25
Symfony 4.1.0 anterior à 4.1.11
Symfony 4.2.0 anterior à 4.2.6
Versão(ões) corrigida(s)
Symfony 2.7.51
Symfony 2.8.50
Symfony 3.4.26
Symfony 4.2.7
Prova de conceito
Desconhecido
Descrição
Isso corrige situações em que parte de um tempo de expiração em um cookie pode ser considerada parte do nome de usuário ou parte do nome de usuário pode ser considerada parte do tempo de expiração. Um atacante pode modificar o cookie lembrar-me e autenticar como um usuário diferente. Este ataque só é possível se a funcionalidade lembrar-me estiver habilitada e os dois usuários compartilharem um hash de senha ou hashes de senha (por exemplo, UserInterface::getPassword ()) são nulos para todos os usuários (o que é válido se as senhas forem verificadas por um sistema externo, por exemplo, um SSO).
Detalhes técnicos
Desconhecido
Créditos
Jon Cave
Referência(s)
CVE-2019-10911: Add a separator in the remember me cookie hash
https://symfony.com/blog/cve-2019-10911-add-a-separator-in-the-remember-me-cookie-hash
Drupal core – Moderately critical – Multiple Vulnerabilities – SA-CORE-2019-005
https://www.drupal.org/sa-core-2019-005
CVE-2019-10911
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10911
CVE-2019-10911
https://nvd.nist.gov/vuln/detail/CVE-2019-10911
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 27 abril 2019