Se publican las actualizaciones de seguridad 2.7.51, 2.8.50, 3.4.26, 4.1.12 y 4.2.7

Symfony acaba de publicar varias actualizaciones de seguridad para las ramas 2.7, 2.8, 3.4, 4.1 y 4.2 (las ramas 3.0, 3.1, 3.2, 3.3 y 4.0 ya no tienen soporte de seguridad).

Se recomienda actualizar lo antes posible, aunque en la práctica, las posibilidades de sufrir un ataque debido a estas vulnerabilidades son bajas:

  • Fix XSS issues in the form theme of the PHP templating, solo te afecta si usas PHP para crear temas de formularios. Como (casi) todo el mundo usa Twig, seguramente no te afecta.
  • Check service IDs are valid, solo te afecta si creas servicios en tu aplicación cuyos nombres contienen algún texto introducido por los usuarios. La solución es que ahora siempre filtramos todos los nombres de los servicios.
  • Add a separator in the remember me cookie hash en principio pensamos que este problema era crítico y permitiría a un atacante loguearse como cualquier usuario de la aplicación. Sin embargo, el ataque solo es posible si se utiliza la funcionalidad "Remember Me" y los hashes de las contraseñas del atacante y del usuario atacado son iguales o si son null (puede pasar si las contraseñas se validan en un servicio externo).
  • Prevent destructors with side-effects from being unserialized si usas el componente Cache, un usuario malicioso puede crear un contenido que una vez cacheado, cuando se accede a el y se pasa por el método unserialize(), ejecute lógica PHP y borre archivos de tu aplicación.
  • Reject invalid HTTP method overrides los métodos HTTP (incluidos directamente en la petición HTTP o en la cabecera X-Http-Method-Override) se incluían directamente en las respuestas sin ningún tipo de validación. A Symfony no le afecta, pero si tus sistemas usaban el método devuelto en la respuesta de Symfony, podrías tener problemas si no escapas sus contenidos.
  • "Fix escaping of strings in VarExporter" algunas cadenas de texto no se escapaban correctamente cuando se manipulan con el componente VarExporter. Aunque no uses ese componente directamente, puede afectarte si usas los adaptadores PhpFilesAdapter y PhpArrayAdapter del componente Cache.

Comentarios

Publicada el

17 de abril de 2019

Etiquetas

Proyectos Symfony destacados

La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.