Se publican las actualizaciones de seguridad 2.0.22 y 2.1.7

El proyecto Symfony anuncia la publicación de las versiones 2.0.22 y 2.1.7 para solucionar un problema de seguridad descubierto en el componente YAML.

El primer problema es que si al método Yaml::parse() le pasas una cadena que representa el nombre de un archivo, abre ese archivo y procesa sus contenidos (hace un file_get_contents() automáticamente). Esto es muy cómodo, pero puede resultar peligroso si se le pasa la ruta de un archivo malicioso. Esta opción se ha declarado obsoleta y será eliminada en Symfony 3.0 (lo de "3.0" no es un error).

El segundo problema es que el mismo método Yaml::parse() ejecuta el código PHP que pueda contener el contenido YAML a procesar. De nuevo esto es muy cómo y facilita la creación de archivos YAML dinámicos. Pero puede ser muy peligroso si no compruebas que el código PHP no es malicioso. Este comportamiento se ha declarado obsoleto y será eliminado en Symfony 2.3 (cuyo lanzamiento está previsto para mayo de 2013).

Cómo actualizar a 2.0.22:

1. Actualiza tus archivos deps y deps.lock por lo siguiente (pero no borres las dependencias propias que hayas añadido en tu proyecto):

2. Actualiza los vendors ejecutando el siguiente comando:

$ cd /ruta/del/proyecto
$ php bin/vendors install

3. Si al ejecutar la aplicación se muestra algún error, borra la cache manualmente:

$ php app/console cache:clear

Cómo actualizar a 2.1.7:

1. Actualiza los vendors con el siguiente comando:

$ cd /ruta/del/proyecto
$ php composer.phar update

Si tienes dudas, también puedes consultar la guía de actualización de Symfony 2.0 o la guía de actualización de Symfony 2.1.

Fuente: Security release: Symfony 2.0.22 and 2.1.7 released

Comentarios

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Compartir en

Publicada el

30 de enero de 2013

Descargas totales de Symfony

591.160.073

Ver descargas en tiempo real

Síguenos en @symfony_es para acceder a las últimas noticias.