Se publican las actualizaciones de seguridad 1.2.12, 1.3.3 y 1.4.3

El equipo de desarrollo de Symfony acaba de publicar tres nuevas versiones de la rama 1.X para solucionar una vulnerabilidad de tipo SQL injection. El problema sólo afecta a la versión de Doctrine del generador de la parte de administración, por lo que el generador de Propel no está afectado por este problema.

Se recomienda la actualización inmediata de todas las versiones de Symfony ya que un atacante podría inyectar código SQL arbitrario en la consulta aprovechando un error en el filtrado del parámetro de ordenación de registros enviado como parámetro de tipo GET.

Como siempre, para actualizar tu versión de Symfony:

  • Si usas el sandbox, te lo tienes que bajar otra vez.
  • Si lo has instalado mediante el archivo comprimido de Symfony, te lo tienes que bajar otra vez desde www.symfony-project.org/installation/1_2, www.symfony-project.org/installation/1_3 o www.symfony-project.org/installation/1_4 y debes descomprimirlo en el mismo directorio dentro de tu proyecto.
  • Si lo has instalado mediante PEAR, ejecuta el comando pear upgrade symfony/symfony-1.2.12, pear upgrade symfony/symfony-1.3.3 o pear upgrade symfony/symfony-1.4.3
  • Si lo instalas mediante Subversion, ejecuta el comando svn checkout http://svn.symfony-project.com/tags/RELEASE_1_2_12/, svn checkout http://svn.symfony-project.com/tags/RELEASE_1_3_3/ o svn checkout http://svn.symfony-project.com/tags/RELEASE_1_4_3/

Independientemente de cómo lo actualices, no olvides borrar la caché de cada proyecto después de la actualización mediante los siguientes comandos:

$ php symfony doctrine:build --all-classes
$ php symfony cache:clear

Fuente: Security Release: 1.2.12, 1.3.3 and 1.4.3

Comentarios

  1. Pero vamos a ver, inyección sql a estas alturas? vaya decepción, pensé que ya lo habían superado...

    thecoder el 26 de febrero de 2010, 19:29:11

  2. thecoder, tranquilízate, siempre pueden exigir agujeros en los lugares más impensables... lo bueno es que en cuanto se detecta se actua y se publica. Éso es la grande y lo que hay que agradecer. Yo he aprovechado una reciente migración de mi proyecto desde 1.2 para pasar a 1.4.3, que funciona muy bien.

    Muchas gracias.

    David el 2 de marzo de 2010, 15:06:01

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Publicada el

25 de febrero de 2010

Etiquetas

Proyectos Symfony destacados

La forma más sencilla de generar el backend de tus aplicaciones Symfony. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.