Se publican las actualizaciones de seguridad 2.8.52, 3.4.35, 4.2.12 y 4.3.8

Symfony acaba de publicar las versiones 2.8.52, 3.4.35, 4.2.12, 4.3.8 para corregir varios problemas de seguridad. En concreto:

  • CVE-2019-18889: cuando se destruye un objeto de tipo TagAwareAdapter en el componente Cache, Symfony ejecuta ciertos callables de PHP, que en algunas circunstancias puede resultar en un problema de tipo RCE (remote code execution).
  • CVE-2019-18887: el servicio UriSigner (usado por ejemplo al renderizar fragmentos ESI) se ha corregido para evitar "timing attacks" de forma que ahora usa funciones seguras de comparación de cadenas como hash_equals().
  • CVE-2019-18886: el componente Security era vulnerable a ataques de tipo "user enumeration" porque la funcionalidad de impersonación de usuarios respondía diferente si el usuario existía o no.
  • CVE-2019-18888: los componentes HttpFoundation y Mime eran vulnerables a una ataque de tipo "argument injection" porque unos argumentos no se escapaban correctamente.
  • CVE-2019-11325: el componente VarExporter era vulnerable porque algunas cadenas de texto no se escapaban correctamente.

Aunque la mayoría de estas vulnerabilidades seguramente no tienen ningún impacto en tus aplicaciones, se recomienda actualizar lo antes posible.

Comentarios

Publicada el

13 de noviembre de 2019

Etiquetas

Proyectos Symfony destacados

La forma más sencilla de generar el backend de tus aplicaciones Symfony. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.