Se publican las actualizaciones de seguridad 1.2.12, 1.3.3 y 1.4.3
El equipo de desarrollo de Symfony acaba de publicar tres nuevas versiones de la rama 1.X para solucionar una vulnerabilidad de tipo SQL injection. El problema sólo afecta a la versión de Doctrine del generador de la parte de administración, por lo que el generador de Propel no está afectado por este problema.
Se recomienda la actualización inmediata de todas las versiones de Symfony ya que un atacante podría inyectar código SQL arbitrario en la consulta aprovechando un error en el filtrado del parámetro de ordenación de registros enviado como parámetro de tipo GET.
Como siempre, para actualizar tu versión de Symfony:
- Si usas el sandbox, te lo tienes que bajar otra vez.
- Si lo has instalado mediante el archivo comprimido de Symfony, te lo tienes que bajar otra vez desde www.symfony-project.org/installation/1_2, www.symfony-project.org/installation/1_3 o www.symfony-project.org/installation/1_4 y debes descomprimirlo en el mismo directorio dentro de tu proyecto.
- Si lo has instalado mediante PEAR, ejecuta el comando
pear upgrade symfony/symfony-1.2.12
,pear upgrade symfony/symfony-1.3.3
opear upgrade symfony/symfony-1.4.3
- Si lo instalas mediante Subversion, ejecuta el comando
svn checkout http://svn.symfony-project.com/tags/RELEASE_1_2_12/
,svn checkout http://svn.symfony-project.com/tags/RELEASE_1_3_3/
osvn checkout http://svn.symfony-project.com/tags/RELEASE_1_4_3/
Independientemente de cómo lo actualices, no olvides borrar la caché de cada proyecto después de la actualización mediante los siguientes comandos:
$ php symfony doctrine:build --all-classes $ php symfony cache:clear
Fuente: Security Release: 1.2.12, 1.3.3 and 1.4.3
Comentarios
-
#1
Pero vamos a ver, inyección sql a estas alturas? vaya decepción, pensé que ya lo habían superado...
-
#2
thecoder, tranquilízate, siempre pueden exigir agujeros en los lugares más impensables... lo bueno es que en cuanto se detecta se actua y se publica. Éso es la grande y lo que hay que agradecer. Yo he aprovechado una reciente migración de mi proyecto desde 1.2 para pasar a 1.4.3, que funciona muy bien.
Muchas gracias.
Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente
unos meses después de su publicación para asegurar que estos sigan
siendo relevantes.
Proyectos Symfony destacados
La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más
Síguenos en @symfony_es para acceder a las últimas noticias.