DSA-3588-1 Symfony - actualización de seguridad

1 envío / 0 nuevos
#1 Mar, 31/05/2016 - 15:06
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3588-1 Symfony - actualización de seguridad

Fecha del informe:

29 de de mayo de 2016

Paquetes afectados:

Symfony

Vulnerable:

Referencias de bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2016-1902 , CVE-2016-4423 .

Más información:

Dos vulnerabilidades fueron descubiertas en Symfony, un marco de PHP.

CVE-2016-1902

Lander Brandt descubrió que el SecureRandom clase puede generar números aleatorios débiles para uso criptográfico en determinadas configuraciones. Si las funciones random_bytes () o (openssl_random_pseudo_bytes) no están disponibles, la salida del SecureRandom no se debe considerar segura.

CVE-2016-4423

Marek Alaksa de Citadelo descubrió que es posible llenar el espacio de almacenamiento de las sesiones mediante la presentación de grandes nombres de usuario inexistentes.

Para la distribución estable (Jessie), estos problemas se han corregido en la versión 2.3.21 + dfsg-4 + deb8u3.

Para la distribución de pruebas (stretch), estos problemas se han corregido en la versión 2.8.6 + dfsg-1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.8.6 + dfsg-1.

Le recomendamos que actualice los paquetes de Symfony.

Original en ingles: https://www.debian.org/security/2016/dsa-3588