Вышел Symfony 2.0.6

Вышло обновление безопасности замечательного php-фреймворка Symfony за версией 2.0.6. Эта версия исправляет security vulnerability (уязвимость безопасности) в EntityUserProvider в мосте к Doctrine.

Уязвимость проявляется, если Вы позволяете пользователям обновлять их именя и логины из формы(login/username from a form) и когда Вы совместно используете Doctrine как провайдер (user provider). Дело в том, что существует возможность сменить пользователя. 

Воспроизводится уязвимость следующим образом: текущий пользователь меняет своё имя через вашу специальную форму на уже существующее имя. (Here is how to reproduce it: The current user changes its username via a form to another existing username). При отсылки формы будет получено сообщение об ошибке — пользователь существует(validation error (as the username already exists)), но смена пользователя произошла в текущей session. Именно эта сессия будет использована для последующих запросов, что бы произвести смену пользователя.

Исправление уязвимости состоит в том, что при обновлении значений для «обьекста Пользователь» нужно использовать первичный ключ (the primary key).

Вы можете воспользоваться  patch, а вот CHANGELOG и diff.

Обновить более старую версию Symfony Standard Edition 2.0.x еще очень легко, используя новые deps and deps.lock файлы и используя консольную команду:

$ ./bin/vendors install 

А теперь очистим кеш(cache):

$ php ./app/console cache:clear 

Leave a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Загрузка...
Menu Title