Se publican las actualizaciones de seguridad 2.0.22 y 2.1.7

El proyecto Symfony anuncia la publicación de las versiones 2.0.22 y 2.1.7 para solucionar un problema de seguridad descubierto en el componente YAML.

El primer problema es que si al método Yaml::parse() le pasas una cadena que representa el nombre de un archivo, abre ese archivo y procesa sus contenidos (hace un file_get_contents() automáticamente). Esto es muy cómodo, pero puede resultar peligroso si se le pasa la ruta de un archivo malicioso. Esta opción se ha declarado obsoleta y será eliminada en Symfony 3.0 (lo de "3.0" no es un error).

El segundo problema es que el mismo método Yaml::parse() ejecuta el código PHP que pueda contener el contenido YAML a procesar. De nuevo esto es muy cómo y facilita la creación de archivos YAML dinámicos. Pero puede ser muy peligroso si no compruebas que el código PHP no es malicioso. Este comportamiento se ha declarado obsoleto y será eliminado en Symfony 2.3 (cuyo lanzamiento está previsto para mayo de 2013).

Cómo actualizar a 2.0.22:

1. Actualiza tus archivos deps y deps.lock por lo siguiente (pero no borres las dependencias propias que hayas añadido en tu proyecto):

2. Actualiza los vendors ejecutando el siguiente comando:

$ cd /ruta/del/proyecto
$ php bin/vendors install

3. Si al ejecutar la aplicación se muestra algún error, borra la cache manualmente:

$ php app/console cache:clear

Cómo actualizar a 2.1.7:

1. Actualiza los vendors con el siguiente comando:

$ cd /ruta/del/proyecto
$ php composer.phar update

Si tienes dudas, también puedes consultar la guía de actualización de Symfony 2.0 o la guía de actualización de Symfony 2.1.

Fuente: Security release: Symfony 2.0.22 and 2.1.7 released

Comentarios

Publicada el

30 de enero de 2013

Síguenos en Twitter para acceder a más noticias.