Se publican las actualizaciones de seguridad 2.0.19 y 2.1.4

El proyecto Symfony acaba de anunciar el lanzamiento de 2.0.19 y 2.1.4, dos actualizaciones de seguridad que debes instalar inmediatamente si tu aplicación utiliza el método trustProxyData(). En concreto, tu aplicación es vulnerable si utiliza la IP que devuelve el método Request::getClientIp() para tomar decisiones como el control de acceso basado en la IP.

Para solucionar este error, reemplaza las llamadas al método Request::trustProxyData() por el nuevo método Request::setTrustedProxies() que acaba de incluir Symfony2. El argumento del nuevo método es un array con las direcciones IP de los servidores proxy en los que confias.

// código original (normalmente se añade en web/app.php)
Request::trustProxyData();
 
// lo que tienes que utilizar ahora
Request::setTrustedProxies(array('1.1.1.1'));
// 1.1.1.1 es la dirección IP del proxy en el que confías

Cómo actualizar a 2.0.19:

1. Actualiza tus archivos deps y deps.lock por lo siguiente (pero no borres las dependencias propias que hayas añadido en tu proyecto):

2. Actualiza los vendors ejecutando el siguiente comando:

$ cd /ruta/del/proyecto
$ php bin/vendors install

3. Si al ejecutar la aplicación se muestra algún error, borra la cache manualmente:

$ php app/console cache:clear

Cómo actualizar a 2.1.4:

1. Actualiza los vendors con el siguiente comando:

$ cd /ruta/del/proyecto
$ php composer.phar update

Si tienes dudas, también puedes consultar la guía de actualización de Symfony 2.0 o la guía de actualización de Symfony 2.1. Si no puedes actualizar tus aplicaciones ahora mismo, aplica el parche de código para Symfony 2.0 o el parche de código para Symfony 2.1.

La vulnerabilidad fue descubierta hace dos días por Damien Tournoud, que forma parte del equipo de seguridad de Drupal. Un ejemplo más de lo provechoso que resulta que dos proyectos grandes (Drupal y Symfony) colaboren y unan sus fuerzas.

Fuente: Security release: Symfony 2.0.18 and 2.1.4

Comentarios

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Publicada el

29 de noviembre de 2012

Proyectos Symfony destacados

La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.