Se publica la actualización de seguridad 2.0.6

El blog oficial de Symfony acaba de anunciar la publicación de Symfony 2.0.6, que corrige un error de seguridad grave relacionado con Doctrine2.

El error es muy fácil de reproducir:

  • El usuario accede al formulario que le permite modificar los datos de su perfil.
  • El usuario cambia su username por cualquier otro que ya exista en la aplicación.
  • Se le mostrará un error indicando que el nuevo username ya existe.
  • El problema es que además, se acaba de cambiar al usuario por el nuevo username.
  • El usuario puede acceder a la aplicación como si fuera el username indicado anteriormente.

El problema no se encuentra exactamente en el código fuente de Symfony2 sino en el bridge que une Symfony2 con Doctrine2. Aún así, todas las aplicaciones que utilicen la seguridad con Doctrine2 son vulnerables y tienen que actualizarse lo antes posible (puedes ver los cambios necesarios en el parche de seguridad 9d2ab9c).

Para actualizar tus aplicaciones, modifica primero el valor de los archivos deps y deps.lock por los siguientes:

Y después ejecuta el siguiente comando:

$ php bin/vendors install

Por último, borra la cache:

$ php app/console cache:clear

Fuente: Security Release: Symfony 2.0.6

Comentarios

  1. Gracias por la noticia, es importante actualizarnos.

    jhon el 17 de noviembre de 2011 13:58:56

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Compartir en

Publicada el

17 de noviembre de 2011

Proyectos Symfony destacados

La forma más sencilla de generar el backend de tus aplicaciones Symfony. Ver más

Descargas totales de Symfony

1.069.955.393

Ver descargas en tiempo real

Síguenos en @symfony_es para acceder a las últimas noticias.