Se publican las actualizaciones de seguridad 2.3.19, 2.4.9 y 2.5.4
El proyecto Symfony acaba de publicar tres actualizaciones de seguridad para todas las ramas activas: 2.3.19, 2.4.9 y 2.5.4. El motivo son las cuatro vulnerabilidades de seguridad que se han anunciado y que afectan a todos los proyectos que utilizan los componentes de Symfony, como por ejemplo Drupal, Laravel y Silex.
Afortunadamente la mayoría de vulnerabilidades son difíciles de explotar:
- CVE-2014-5244: si un atacante envía una petición con un
host
formado por una cadena de texto larguísima, podría producirse un ataque de tipo denegación de servicio. La solución ha sido actualizar la expresión regular que procesa elhost
. Esta es la primera vulnerabilidad corregida conjuntamente por el equipo de seguridad de Drupal y de Symfony. - CVE-2014-5245: si usas ESI y Varnish, un atacante podría acceder directamente a las URLs de los fragmentos servidos por ESI. La solución consiste en firmar todas las URLs relacionadas con los fragmentos.
- CVE-2014-6061: la cabecera
Authorization
relacionada con la autenticación HTTP básica (la que hace que el navegador muestre la caja de usuario + contraseña) no se parseaba del todo bien. Aunque no se tiene constancia de ningún tipo de ataque relacionado con este problema, ahora la cabecera se procesa tal y como indica la especificación HTTP. - CVE-2014-6072: si usas la barra de depuración web en producción, los atacantes pueden acceder a tu información de depuración mediante la característica de importar/exportar datos. La solución ha sido eliminar esa característica (que por cierto casi nadie usa) y transformarla en dos comandos de consola (
profiler:import
yprofiler:export
) que por defecto están desactivados.
Para actualizar a las últimas versiones de Symfony, sólo tienes que entrar en el directorio de cada proyecto Symfony y ejecutar el siguiente comando (que requiere que tengas Composer instalado globalmente):
$ cd proyectos/aplicacion-symfony2/ $ composer update
Fuentes: Symfony 2.3.19 released, Symfony 2.4.9 released, Symfony 2.5.4 released.
Comentarios
-
#1
Symfony es un excelente framework, vigente y dotado de investigación constante importante esta nueva actualización
Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente
unos meses después de su publicación para asegurar que estos sigan
siendo relevantes.
Proyectos Symfony destacados
La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más
Síguenos en @symfony_es para acceder a las últimas noticias.