ស្វែងយល់អំពីបញ្ហាសុវត្ថិភាពនៅក្នុង symfony3

នៅក្នុងមេរៀននេះនឹងពន្យល់អ្នកអំពី របៀបនៃការក្ដោបក្ដាប់នូវបញ្ហានៃសុវត្ថិភាពរបស់ Symfony ដោយក្រុមស្នូលរបស់ Symfony (Symfony បានបង្ហោះកូដនៅកន្លែងសំខាន់មួយគឺ symphony/symphony Git repository)។

១) ការរាយការណ៏អំពីបញ្ហាសុវត្ថិភាព

ប្រសិនបើអ្នកគិតថាអ្នកបានរកឃើញនូវបញ្ហាផ្នែកសុវត្ថិភាពនៅក្នុង Symfony នោះសូមអ្នកកុំប្រើនូវ bug tracker និងមិនត្រូវដាក់វាជាសាធារណៈនោះឡើយ។ ផ្ទុយទៅវិញ បញ្ហាផ្នែកសុវត្ថិភាពទាំងអស់នេះត្រូវផ្ញើរទៅកាន់ security [at] symphony.com។ អ៊ីម៉េលដែលបានផ្ញើរទៅកាន់អាស័យដ្ឋានមួយនេះគឺបញ្ជូនទៅកាន់ ក្រុមស្នូលរបស់ Symfony (symfony core-team) ដោយប្រើនូវ mailing-list ជាលក្ខណៈឯកជន។

២) ការដោះស្រាយដំណើរការ

សម្រាប់ការរាយការណ៏នីមួយៗ អ្នកត្រូវព្យាយាមបញ្ជាក់អំពីភាពងាយរងគ្រោះជាមុនសិន។ ពេលដែលវាត្រូវបានបញ្ជាក់រួចហើយ ក្រុមស្នូលនឹងធ្វើការទៅលើដំណោះស្រាយទៅតាមជំហ៊ានទាំងអស់នេះ៖

ក) ផ្ញើរនូវសេចក្ដីថ្លែងអំណរគុណទៅកាន់អ្នកដែលបានរាយការណ៏

ខ)​ ធ្វើការនៅលើចំណុចដែលខ្វះខាត

គ) ទទួលនូវ CVE identifier ពី mitre.org

ឃ) សរសេរប្រកាសនូវសុវត្ថិភាពសម្រាប់ Symfony blog ជាផ្លូវការ អំពីភាពដែលងាយរងគ្រោះ។ ការបង្ហោះនេះគួរតែផ្ទុកនូវព័ត៌មានដូចខាងក្រោម៖

• ចំណងជើងដែលតែងតែបញ្ចូលនូវពាក្យ “Security release”
• ព៌ណនាអំពីភាពដែលងាយរងគ្រោះ
• កំណែដែលងាយរងផលប៉ះពាល់
• ការកេងប្រវ័ញ្ចដែលអាចធ្វើទៅបាន
• របៀបដែលធ្វើការប៉ះប៉ូវ ការដែលធ្វើអោយប្រសើរឡើង និងដំណោះស្រាយដែលរងផលប៉ះពាល់ដល់ប្រព័ន្ធ
• CVE identifier
• Credits

ង) ផ្ញើរការប៉ះប៉ូវនិងការប្រកាសទៅកាន់អ្នកដែលរាយការណ៏សម្រាប់ធ្វើការត្រួតពិនិត្យ

ច) អនុវត្តនូវការប៉ះប៉ូវទៅកាន់កំណែរក្សាទាំងអស់នៃ Symfony

ឆ) ខ្ចប់នូវកំណែថ្មីសម្រាប់កំណែដែលរងផលប៉ះពាល់ទាំងអស់

ជ) ដាក់ការបង្ហោះ (post) ជាសាធារណៈនៅលើ Symfony blog ជាផ្លូវការ (វាក៏ត្រូវតែបន្ថែមនូវ “Security Advisories” category ផងដែរ)

ឈ) Update នូវ security advisory list (មើលខាងក្រោម)

ញ) Update នូវ security advisories database ជាសាធារណៈដែលត្រូវបានថែទាំដោយ អង្គការ FriendsOfPHP និងដែលប្រើដោយ security:check command។

៣)​ ការសហការជាមួយនឹង Downstream Open-Source Projects

ដោយ​ Symfony ត្រូវបានប្រើប្រាស់ដោយ Open-Source projects ធំៗជាច្រើន យើងបានកំណត់វិធីជាស្តង់ដាសម្រាប់ក្រុមសុវត្ថិភាពរបស់ Symfony ក្នុងការសហការគ្នានៅលើបញ្ហាសុវត្ថិភាពជាមួយនឹង downstream projects។ ដំណើរការនៃការងារគឺដូចខាងក្រោមនេះ៖

ក) បន្ទាប់ពី ក្រុមសុវត្ថិភាពរបស់ Symfony បានធ្វើការទទួលស្គាល់នូវបញ្ហាសុវត្ថិភាពរួចហើយនោះ វានឹងផ្ញើរអ៊ីម៉េលភ្លាមទៅកាន់ ក្រុមសុវត្ថិភាពរបស់ downstream project ដើម្បីបញ្ជាក់ពួកគេអំពីបញ្ហា

ខ) ក្រុមសុវត្ថិភាពរបស់ Symfony បង្កើតនូវ Git repository ជាលក្ខណៈឯកជនមួយដើម្បីងាយស្រួលក្នុងការសហការគ្នាចំពោះបញ្ហានិងការចូលទៅកាន់ repository មួយនេះគឺត្រូវផ្ដល់ទៅអោយក្រុមសុវត្ថិភាពរបស់ Symfony ដើម្បីអោយអ្នកដែលរួមចំណែករបស់ Symfony ដែលត្រូវបានរងផលប៉ះពាល់ដោយបញ្ហានេះនិងដើម្បីអោយមានតំណាងម្នាក់នៃ downstream projects នីមួយៗ

គ) អ្នកទាំងអស់ដែលចូលទៅកាន់ repository ដែលមិនមែនសាធារណៈនោះ ធ្វើការទៅលើដំណោះស្រាយដើម្បីដោះស្រាយនូវបញ្ហាតាមរយៈការទាញយកសំណើ ការពិនិត្យនូវកូដ និងការ comments

ឃ) នៅពេលដែលការជួសជុលត្រូវបានរកឃើញ នោះគម្រោងដែលពាក់ព័ន្ធទាំងអស់ធ្វើការសហការគ្នាដើម្បីស្វែងរកថ្ងៃពិសេសមួយសម្រាប់ធ្វើការចេញផ្សាយ (ទាំងនេះគឺមិនធានាថាការចេញផ្សាយទាំងអស់អាចនឹងក្នុងពេលតែមួយទេប៉ុន្តែ យើងនឹងព្យាយាមដើម្បីធ្វើអោយពួកគេស្ថិតក្នុងពេលតែមួយ)។ ពេលដែលបញ្ហាគឺមិនត្រូវគេរកឃើញថាទាញយកផលប្រយោជន៏ពីខាងក្រៅ នោះរយៈពេលប្រហែលជា២សប្ដាហ៏អាចនឹងគិតថាជាពេលដែលអាចទទួលយកបាន។

តារាងនៃគម្រោង downstream បានចូលរួមចំណែកក្នុងដំណើរការក្នុងការរក្សាអោយតូចបំផុតតាមដែលអាចធ្វើទៅបានដើម្បីគ្រប់គ្រងនូវលំហូរនៃព័ត៌មានសម្ងាត់មុននឹងធ្វើការបង្ហាញ។ ក៏ដូចជា គម្រោងដែលបញ្ចូលទៅក្នុងការសម្រេចចិត្តតែមួយគត់នៃក្រុមសុវត្ថិភាពរបស់ Symfony ។

នៅថ្ងៃនេះ គម្រោងដូចខាងក្រោមនេះបានធ្វើអោយមានសុពលភាពនៃដំណើរការនេះនិងជាផ្នែកនៃគម្រោង downstream ដែលបញ្ចូលនូវដំណើរការនេះ៖

• Drupal
• eZPublish

៤) Security Advisories

នៅក្នុងចំណុចនេះ គឺជាការចេញផ្សាយនូវបញ្ហានិងការប៉ះពាល់របស់ Symfony ដែលត្រូវបានជួសជុលរួចរាល់ដោយចាប់ផ្ដើមពី Symfony 1.0.0៖

• ថ្ងៃទី០៩ ខែឧសភា ឆ្នាំ២០១៦៖ CVE-2016-2403: Unauthorized access on a misconfigured Ldap server when using an empty password(2.8.0-2.8.5, 3.0.0-3.0.5)
• ថ្ងៃទី០៩ ខែឧសភា ឆ្នាំ២០១៦៖ CVE-2016-4423: Large username storage in session(2.3.0-2.3.40, 2.7.0-2.7.12, 2.8.0-2.8.5, 3.0.0-3.0.5)
• ថ្ងៃទី១៨ ខែមករា ឆ្នាំ២០១៦៖ CVE-2016-1902: SecureRandom’s fallback not secure when OpenSSL fails(2.3.0-2.3.36, 2.6.0-2.6.12, 2.7.0-2.7.8)
• ថ្ងៃទី២៣ ខែវិច្ឆិកា ឆ្នាំ២០១៥៖ CVE-2015-8125: Potential Remote Timing Attack Vulnerability in Security Remember-Me Service(2.3.35, 2.6.12 and 2.7.7)
• ថ្ងៃទី២៣ ខែវិច្ឆិកា ឆ្នាំ២០១៥៖ CVE-2015-8124: Session Fixation in the “Remember Me” Login Feature(2.3.35, 2.6.12 and 2.7.7)
• ថ្ងៃទី២៦ ខែឧសភា ឆ្នាំ២០១៥៖​ CVE-2015-4050: ESI unauthorized access(Symfony 2.3.29, 2.5.12 and 2.6.8)
• ថ្ងៃទី០១ ខែមេសា ឆ្នាំ២០១៥៖​ CVE-2015-2309: Unsafe methods in the Request class (Symfony 2.3.27, 2.5.11 and 2.6.6)
• ថ្ងៃទី០១ ខែមេសា ឆ្នាំ២០១៥៖ CVE-2015-2308: Esi Code Injection (Symfony 2.3.27, 2.5.11 and 2.6.6)
• ថ្ងៃទី០៣ ខែកញ្ញា ឆ្នាំ២០១៤៖ CVE-2014-6072: CSRF vulnerability in the Web Profiler(Symfony 2.3.19, 2.4.9 and 2.5.4)
• ថ្ងៃទី០៣ ខែកញ្ញា ឆ្នាំ២០១៤៖ CVE-2014-6061: Security issue when parsing the Authorization header (Symfony 2.3.19, 2.4.9 and 2.5.4)
• ថ្ងៃទី០៣ ខែកញ្ញា ឆ្នាំ២០១៤៖ CVE-2014-5245: Direct access of ESI URLs behind a trusted proxy (Symfony 2.3.19, 2.4.9 and 2.5.4)
• ថ្ងៃទី០៣ ខែកញ្ញា ឆ្នាំ២០១៤៖​ CVE-2014-5244: Denial of service with a malicious HTTP Host header (Symfony 2.3.19, 2.4.9 and 2.5.4)
• ថ្ងៃទី១៥ ខែកក្កដា ឆ្នាំ២០១៤៖ Security releases: Symfony 2.3.18, 2.4.8, and 2.5.2 released(CVE-2014-4931)
• ថ្ងៃទី១០ ខែតុលា ឆ្នាំ២០១៣៖ Security releases: Symfony 2.0.25, 2.1.13, 2.2.9, and 2.3.6 released(CVE-2013-5958)
• ថ្ងៃទី០៧ ខែសីហា ឆ្នាំ២០១៣៖ Security releases: Symfony 2.0.24, 2.1.12, 2.2.5, and 2.3.3 released(CVE-2013-4751 and CVE-2013-4752)
• ថ្ងៃទី១៧ ខែមករា ឆ្នាំ២០១៣៖ Security release: Symfony 2.0.22 and 2.1.7 released(CVE-2013-1348 and CVE-2013-1397)
• ថ្ងៃទី២០ ខែធ្នូ ឆ្នាំ២០១២៖ Security release: Symfony 2.0.20 and 2.1.5(CVE-2012-6431 and CVE-2012-6432)
• ថ្ងៃទី២៩ ខែវិច្ឆិកា ឆ្នាំ២០១២៖ Security release: Symfony 2.0.19 and 2.1.4
• ថ្ងៃទី២៥ ខែវិច្ឆិកា ឆ្នាំ២០១២៖ Security release: symfony 1.4.20 released (CVE-2012-5574)
• ថ្ងៃទី២៨ ខែសីហា ឆ្នាំ២០១២៖ Security Release: Symfony 2.0.17 released
• ថ្ងៃទី៣០ ខែឧសភា ឆ្នាំ២០១២៖ Security Release: symfony 1.4.18 released (CVE-2012-2667)
• ថ្ងៃទី២៤ ខែកុម្ភៈ ឆ្នាំ២០១២៖ Security Release: Symfony 2.0.11 released
• ថ្ងៃទី១៦ ខែវិច្ឆិកា ឆ្នាំ២០១១៖ Security Release: Symfony 2.0.6
• ថ្ងៃទី២១ ខែមីនា ឆ្នាំ២០១១៖ symfony 1.3.10 and 1.4.10: security releases
• ថ្ងៃទី២៩ ខែមិថុនា ឆ្នាំ២០១០៖ Security Release: symfony 1.3.6 and 1.4.6
• ថ្ងៃទី៣១ ខែឧសភា ឆ្នាំ២០១០៖ symfony 1.3.5 and 1.4.5
• ថ្ងៃទី២៥ ខែកុម្ភៈ ឆ្នាំ២០១០៖ Security Release: 1.2.12, 1.3.3 and 1.4.3
• ថ្ងៃទី១៣ ខែកុម្ភៈ ឆ្នាំ២០១០៖ symfony 1.3.2 and 1.4.2
• ថ្ងៃទី២៧ ខែមេសា ឆ្នាំ២០០៩៖ symfony 1.2.6: Security fix
• ថ្ងៃទី០៣ ខែតុលា ឆ្នាំ២០០៨៖ symfony 1.1.4 released: Security fix
• ថ្ងៃទី១៤ ខែឧសភាំ ឆ្នាំ២០០៨៖​ symfony 1.0.16 is out
• ថ្ងៃទី០១ ខែមេសា ឆ្នាំ២០០៨៖ symfony 1.0.13 is out
• ថ្ងៃទី២១ ខែមីនា ឆ្នាំ២០០៨៖ symfony 1.0.12 is (finally) out !
• ថ្ងៃទី២៥ ខែមិថុនា ឆ្នាំ២០០៧៖ symfony 1.0.5 released (security fix)