Se publican las actualizaciones de seguridad 2.3.19, 2.4.9 y 2.5.4

El proyecto Symfony acaba de publicar tres actualizaciones de seguridad para todas las ramas activas: 2.3.19, 2.4.9 y 2.5.4. El motivo son las cuatro vulnerabilidades de seguridad que se han anunciado y que afectan a todos los proyectos que utilizan los componentes de Symfony, como por ejemplo Drupal, Laravel y Silex.

Afortunadamente la mayoría de vulnerabilidades son difíciles de explotar:

  • CVE-2014-5244: si un atacante envía una petición con un host formado por una cadena de texto larguísima, podría producirse un ataque de tipo denegación de servicio. La solución ha sido actualizar la expresión regular que procesa el host. Esta es la primera vulnerabilidad corregida conjuntamente por el equipo de seguridad de Drupal y de Symfony.
  • CVE-2014-5245: si usas ESI y Varnish, un atacante podría acceder directamente a las URLs de los fragmentos servidos por ESI. La solución consiste en firmar todas las URLs relacionadas con los fragmentos.
  • CVE-2014-6061: la cabecera Authorization relacionada con la autenticación HTTP básica (la que hace que el navegador muestre la caja de usuario + contraseña) no se parseaba del todo bien. Aunque no se tiene constancia de ningún tipo de ataque relacionado con este problema, ahora la cabecera se procesa tal y como indica la especificación HTTP.
  • CVE-2014-6072: si usas la barra de depuración web en producción, los atacantes pueden acceder a tu información de depuración mediante la característica de importar/exportar datos. La solución ha sido eliminar esa característica (que por cierto casi nadie usa) y transformarla en dos comandos de consola (profiler:import y profiler:export) que por defecto están desactivados.

Para actualizar a las últimas versiones de Symfony, sólo tienes que entrar en el directorio de cada proyecto Symfony y ejecutar el siguiente comando (que requiere que tengas Composer instalado globalmente):

$ cd proyectos/aplicacion-symfony2/
$ composer update

Fuentes: Symfony 2.3.19 released, Symfony 2.4.9 released, Symfony 2.5.4 released.

Comentarios

  1. Symfony es un excelente framework, vigente y dotado de investigación constante importante esta nueva actualización

    Gabriel Gallardo el 10 de septiembre de 2014, 21:05:31

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Publicada el

3 de septiembre de 2014

Etiquetas

Proyectos Symfony destacados

La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.