Se publica la actualización de seguridad 2.0.6
El blog oficial de Symfony acaba de anunciar la publicación de Symfony 2.0.6, que corrige un error de seguridad grave relacionado con Doctrine2.
El error es muy fácil de reproducir:
- El usuario accede al formulario que le permite modificar los datos de su perfil.
- El usuario cambia su username por cualquier otro que ya exista en la aplicación.
- Se le mostrará un error indicando que el nuevo username ya existe.
- El problema es que además, se acaba de cambiar al usuario por el nuevo username.
- El usuario puede acceder a la aplicación como si fuera el username indicado anteriormente.
El problema no se encuentra exactamente en el código fuente de Symfony2 sino en el bridge que une Symfony2 con Doctrine2. Aún así, todas las aplicaciones que utilicen la seguridad con Doctrine2 son vulnerables y tienen que actualizarse lo antes posible (puedes ver los cambios necesarios en el parche de seguridad 9d2ab9c).
Para actualizar tus aplicaciones, modifica primero el valor de los archivos deps y deps.lock por los siguientes:
Y después ejecuta el siguiente comando:
$ php bin/vendors install
Por último, borra la cache:
$ php app/console cache:clear
Fuente: Security Release: Symfony 2.0.6
Comentarios
-
#1
Gracias por la noticia, es importante actualizarnos.
Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente
unos meses después de su publicación para asegurar que estos sigan
siendo relevantes.
Proyectos Symfony destacados
La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más
Síguenos en @symfony_es para acceder a las últimas noticias.