Se publican las actualizaciones de seguridad 2.3.18, 2.4.8 y 2.5.2

El proyecto Symfony acaba de anunciar en el blog oficial el lanzamiento de las actualizaciones de seguridad 2.3.18, 2.4.8 y 2.5.2. Como es habitual cuando se descubre una vulnerabilidad, se recomienda a todos los proyectos actualizar lo antes posible.

La vulnerabilidad descubierta se ha registrado con el código CVE-2014-4931 y está relacionada con la forma en la que Symfony cachea la traducción de contenidos en el bundle FrameworkBundle.

En concreto, cuando una URL depende del idioma del usuario, su formato es de tipo /demo/{_locale}/. La buena práctica recomendada consiste en restringir el valor de los posibles idiomas del usuario, es decir, los posibles valores de la variable _locale. Si no lo haces, tu aplicación puede ser vulnerable porque _locale es un valor que proporciona el usuario y Symfony no lo sanitiza de ninguna manera.

Las versiones 2.0, 2.1 y 2.2 de Symfony también están afectadas por este error. Aunque ya no se publican nuevas versiones porque su tiempo de vida acabó, puedes aplicar en esas versiones el mismo parche de código que se ha aplicado a Symfony 2.3: ver parche de código

Comprobar si tus proyectos están expuestos a alguna vulnerabilidad es algo muy importante y por eso deberías realizarlo regularmente. Para ello, puedes utilizar por ejemplo el proyecto Security Vulnerability Checker, que sólo requiere que subas el archivo composer.lock de tu proyecto. Si prefieres realizar estas comprobaciones localmente en tu propio servidor, utiliza la utilidad de consola que proporciona el mismo proyecto.

Por último, el proceso de comprobar si tus proyectos están expuestos a algún problema de seguridad podría simplificarse muy pronto si aceptan este pull request que envié al repositorio de SensioFrameworkExtraBundle para añadir el comando security:check a partir de Symfony 2.6. Si te gustaría tener este comando en Symfony, no olvides añadir algún comentario de apoyo en ese pull request.

Comentarios

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Publicada el

15 de julio de 2014

Proyectos Symfony destacados

La forma más sencilla de generar el backend de tus aplicaciones Symfony. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.