Se publica la actualización de seguridad Symfony 2.0.11

Se acaba de publicar Symfony 2.0.11, una actualización no planeada que soluciona un grave error de seguridad. Este fallo sólo afecta a las aplicaciones que utilizan el componente Serializer.

Concretamente, el error es debido a que el componente XMLEncoder no desactiva las entidades externas cuando procesa los archivos XML. Aprovechando esta vulnerabilidad, es posible acceder a los contenidos de cualquier archivo del servidor. En el post oficial puedes ver un ejemplo de cómo aprovechar la vulnerabilidad.

Si utilizas el serializador de Symfony2, debes actualizar tu versión de Symfony2 urgentemente. Para ello, actualiza primero tus archivos deps y deps.lock por los siguientes:

Y después ejecuta el siguiente comando para descargar los cambios:

$ php bin/vendors install

Por último, si al ejecutar después la aplicación se muestra algún error, vuelve a borrar la cache manualmente:

$ php app/console cache:clear

Si no puedes actualizar ahora mismo todo Symfony2, al menos aplica a mano este parche de código para solucionar el problema: [Serializer] Fix XML decoding attack vector through external entities

Fuente: Security Release: Symfony 2.0.11 released

Comentarios

  1. ¡¡Gracias por el aviso Javier!!

    Jorge el 27 de febrero de 2012, 1:04:31

  2. Thanks! vendors update INMINENTE.

    SMoya el 27 de febrero de 2012, 10:16:43

  3. necesito instalar la biblioteca Doctrine Data Fixtures

    coloco las líneas de dependencia en el archivo deps y ejecuto la orden php bin/vendors install, y me sale el siguiente error

    installing/updating symfony git no se reconoce como comando interno o externo el sistema no puede hallar la ruta especificada el sistema no puede hallar la ruta especificada el sistema no puede hallar la ruta especificada

    y asi continua con toda la actualización.

    el symfony está instalado en d:/wamp/www

    agradezco su colaboración

    hector

    from Bogotá,Colombia

    hector tellez el 30 de marzo de 2012, 23:21:54

  4. Héctor, la clave podría estar en el siguiente mensaje de error:

    "git no se reconoce como comando interno o externo"

    Al parecer no tienes instalado Git o no está dentro de la ruta de ejecución de tu sistema operativo. La solución consiste en descargar Git desde http://git-scm.com/ e instalarlo. Después, todo debería funcionar bien.

    Javier Eguiluz el 31 de marzo de 2012, 9:04:12

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Publicada el

25 de febrero de 2012

Proyectos Symfony destacados

La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más

Síguenos en @symfony_es para acceder a las últimas noticias.