ГлавнаяБаза уязвимостей БДУ → BDU:2019-04112
6.4средняя

BDU:2019-04112 (CVE-2017-16652)

Уязвимость компонентов DefaultAuthenticationSuccessHandler, DefaultAuthenticationFailureHandler программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации
Опубликовано: 2019-11-19
Описание

Уязвимость компонентов DefaultAuthenticationSuccessHandler, DefaultAuthenticationFailureHandler программной платформы для разработки и управления веб-приложениями Symfony связана с генерацией параметром _target_path ответа на запрос без проверки пути. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить фишинг-атаки и получить доступ к защищаемой информации, используя специально созданный URI

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Symfony (от 2.7.0 до 2.7.37 включительно)Symfony (от 2.8.0 до 2.8.30 включительно)Symfony (от 3.2.0 до 3.2.13 включительно)Symfony (от 3.3.0 до 3.3.12 включительно)
Способ устранения

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00009.html

Для Symfony:
https://symfony.com/blog/cve-2017-16652-open-redirect-vulnerability-on-security-handlers

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://lists.debian.org/debian-lts-announce/2019/03/msg00009.htmlhttps://symfony.com/blog/cve-2017-16652-open-redirect-vulnerability-on-security-handlershttps://nvd.nist.gov/vuln/detail/CVE-2017-16652
Проверьте безопасность своего сайта и почты → Полная проверка домена