Rilasciato symfony versione 1.3.6 e 1.4.6

Nuovo rilascio di symfony per quanto riguarda i rami di sviluppo 1.3 e 1.4 .

Si tratta di un rilascio che va a chiudere un problema di sicurezza legato al motore di caching delle pagine.
A differenza delle versioni precedenti alla 1.3 e 1.4 symfony permette di salvare in cache anche gli url contenenti parametri GET (e.s. http://esempio.com/?id_articolo=1).
Questi parametri non venivano correttamente analizzati e verificati: con un url del tipo “http://esempio.com/?id_articolo=..”, notare gli ultimi due punti, la rispettiva cache veniva salvata
in una directory superiore a quella voluta.
La vulnerabilità è di tipo Directory Traversal grazie alla quale è possibile accedere a zone del filesystem non permesse.
La gravità di tale falla dipende dai permessi dei file o directory presenti nell’ambiente di produzione e riguarda esclusivamente gli url configurati per essere salvati in cache.

Changeset 1.3.6 e 1.4.6

Leave a Reply

Your email address will not be published. Required fields are marked *