Fine supporto symfony 1.3

Come annunciato al momento del suo rilascio, il supporto alla versione 1.3 è terminato il mese scorso. Chi non l’avesse ancora fatto, dovrebbe aggiornare alla versione 1.4, seguendo l’apposita documentazione.

Rilasciato symfony versione 1.3.6 e 1.4.6

Nuovo rilascio di symfony per quanto riguarda i rami di sviluppo 1.3 e 1.4 .

Si tratta di un rilascio che va a chiudere un problema di sicurezza legato al motore di caching delle pagine.
A differenza delle versioni precedenti alla 1.3 e 1.4 symfony permette di salvare in cache anche gli url contenenti parametri GET (e.s. http://esempio.com/?id_articolo=1).
Questi parametri non venivano correttamente analizzati e verificati: con un url del tipo “http://esempio.com/?id_articolo=..”, notare gli ultimi due punti, la rispettiva cache veniva salvata
in una directory superiore a quella voluta.
La vulnerabilità è di tipo Directory Traversal grazie alla quale è possibile accedere a zone del filesystem non permesse.
La gravità di tale falla dipende dai permessi dei file o directory presenti nell’ambiente di produzione e riguarda esclusivamente gli url configurati per essere salvati in cache.

Changeset 1.3.6 e 1.4.6

Rilasciato symfony versione 1.3.5 e 1.4.5

È stata rilasciata una nuova versione del framework symfony .

La più importante novità introdotta è sicuramente la fix ad una vulnerabilità (ticket) riguardante le classi form di Doctrine e Propel che permetteva ad un utente malintenzionato di aggiornare un record del database diverso da quello presentato nella form di partenza.

Sono stata anche aggiornate due importanti librerie: Propel versione 1.4.2 e Lime versione 1.0.9.

Qui trovate il CHANGELOG completo.