Блог

Главная - Вопросы по программированию - Symfony предотвращает RCE при вызове ненадежного удаленного с ошибкой CachingHttpClient

Symfony предотвращает RCE при вызове ненадежного удаленного с ошибкой CachingHttpClient

#php #symfony #security

#php #symfony #Безопасность

Вопрос:

Я получил следующую ошибку при попытке выполнить composer install --no-progress в рамках развертывания:

 1 packages have known vulnerabilities.
!!  
!!  symfony/http-kernel (v5.0.7)
!!  ----------------------------
!!  
!!   * [CVE-2020-15094][]: Prevent RCE when calling untrusted remote with CachingHttpClient
!!  
!!  [CVE-2020-15094]: https://symfony.com/cve-2020-15094

Следуя этой ссылке, указанной в моей ошибке: https://symfony.com/blog/cve-2020-15094-prevent-rce-when-calling-untrusted-remote-with-cachinghttpclient

Он перенаправляет меня к следующей ссылке github здесь: https://github.com/symfony/symfony/commit/ba3975329149cddebfe969f70b2577b0e37d1e76

Что это значит для локальной разработки и связанного с ней исправления? Я попробовал перейти по ссылке: src/Symfony/Component/HttpClient/Tests/CachingHttpClientTest.php

В моем проекте нет этой ссылки

введите описание изображения здесь

Итак, как мне исправить эту проблему? Как можно обновить проблемы, которые возникают в будущем? Я использую настройку mac.

Комментарии:

1. 1) В чем ваша проблема? Вы упомянули «мою ошибку», но я не вижу ошибки нигде в вопросе. 2) Исходного кода Symfony нет в вашем src (он зарезервирован для вашего приложения). Он находится в vendor папке.

2. Обновил вопрос, чтобы отразить указанную ошибку.

3. Также @El_Vanja даже внутри vendor папки у нее нет путей, которые, по словам страницы github, должны быть обновлены.

4. Вы используете версию, которая не получила исправление (в связанной статье указано The issue has been fixed in Symfony 4.4.13 and 5.1.5. Symfony 4.3 and 5.0 won't be patched as they are not maintained anymore. ). Подумайте об обновлении Symfony. Чем скорее вы прекратите запускать неуправляемую версию, тем лучше.

5. И в той же статье они конкретно указывают, что связанный патч предназначен для версии 4.4, так что эти различия в структуре понятны.

Ответ №1:

Лучший способ продвинуться вперед — это перейти на более позднюю версию Symfony. 5.0 больше не поддерживается, вы можете использовать 5.1 или 5.2. Если вы не являетесь ответственным за обновление зависимостей в проекте, вы можете сообщить об этом ответственному лицу.

Если вы посмотрите на страницу, на которую ссылается сама ошибка (https://symfony.com/cve-2020-15094 ) вы можете прочитать:

Проблема была исправлена в Symfony 4.4.13 и 5.1.5. Symfony 4.3 и 5.0 не будут исправлены, поскольку они больше не поддерживаются.

Чтобы обновить Symfony, вы можете перейти по этой ссылке: https://symfony.com/doc/current/setup/upgrade_minor.html

Комментарии:

1. Хорошо, в этом есть большой смысл. Спасибо вам за большую помощь!

Метки: