Se publican las actualizaciones de seguridad 1.3.6 y 1.4.6
Un problema de seguridad descubierto en las ramas 1.3 y 1.4 de Symfony ha obligado a adelantar la publicación de sus versiones de mantenimiento. Se recomienda actualizar inmediatamente todas las aplicaciones que utilicen symfony 1.3 y 1.4.
La vulnerabilidad descubierta está relacionada con la forma en la que se guardan las plantillas en la cache. Los parámetros GET de la URL de la plantilla se utilizan para determinar el directorio en el que se guarda la plantilla.
El problema es que estos parámetros GET de la plantilla no se limpiaban antes de generar la ruta donde se guardará la plantilla. La consecuencia es que un atacante podría utilizar parámetros GET especialmente preparados para almacenar las plantillas en algún directorio por encima del directorio de la cache de la aplicación.
Como siempre, para actualizar tu versión de Symfony:
- Si usas el sandbox, te lo tienes que bajar otra vez.
- Si lo has instalado mediante el archivo comprimido de Symfony, te lo tienes que bajar otra vez desde www.symfony-project.org/installation/1_3 o www.symfony-project.org/installation/1_4 y debes descomprimirlo en el mismo directorio dentro de tu proyecto.
- Si lo has instalado mediante PEAR, ejecuta el comando
pear upgrade symfony/symfony-1.3.6
opear upgrade symfony/symfony-1.4.6
- Si lo instalas mediante Subversion, ejecuta el comando
svn checkout http://svn.symfony-project.com/tags/RELEASE_1_3_6/
osvn checkout http://svn.symfony-project.com/tags/RELEASE_1_4_6/
Independientemente de cómo lo actualices, no olvides borrar la caché de cada proyecto después de la actualización mediante los siguientes comandos:
Si utilizas Doctrine:
$ php symfony doctrine:build --all-classes $ php symfony cache:clear
Si utilizas Propel:
$ php symfony propel:build --all-classes $ php symfony cache:clear
Fuente: Security Release: symfony 1.3.6 and 1.4.6
Comentarios
Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente
unos meses después de su publicación para asegurar que estos sigan
siendo relevantes.
Proyectos Symfony destacados
La forma más sencilla de generar el backend de tus aplicaciones Symfony. Ver más
Síguenos en @symfony_es para acceder a las últimas noticias.