ГлавнаяБаза уязвимостей БДУ → BDU:2019-04245
10критическая

BDU:2019-04245 (CVE-2018-11406)

Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю осуществить межсайтовую подделку запросов
Опубликовано: 2019-11-25
Описание

Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony связана с отсутсвием удаления CSRF-токенов, после завершение сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую подделку запросов

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Fedora (28)Astra Linux Special Edition (1.6 «Смоленск»)Symfony (от 2.7.0 до 2.7.48)Symfony (от 2.8.0 до 2.8.41)Symfony (от 3.3.0 до 3.3.17)Symfony (от 3.4.0 до 3.4.11)Symfony (от 4.0.0 до 4.0.11)
Способ устранения

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Symfony:
https://symfony.com/blog/cve-2018-11406-csrf-token-fixation

Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4262

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WU5N2TZFNGXDGMXMPP7LZCWTFLENF6WH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UBQK7JDXIELADIPGZIOUCZKMAJM5LSBW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G4XNBMFW33H47O5TZGA7JYCVLDBCXAJV/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://symfony.com/blog/cve-2018-11406-csrf-token-fixationhttps://www.debian.org/security/2018/dsa-4262https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WU5N2TZFNGXDGMXMPP7LZCWTFLENF6WH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UBQK7JDXIELADIPGZIOUCZKMAJM5LSBW/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G4XNBMFW33H47O5TZGA7JYCVLDBCXAJV/https://nvd.nist.gov/vuln/detail/CVE-2018-11406
Проверьте безопасность своего сайта и почты → Полная проверка домена