セキュリティー リリース: symfony 1.3.6 と 1.4.6

(原文リンク)

symfony 1.3と1.4 の新しいリリースが予定より早く用意されました。 これは昨日(訳者追記: 6/28)報告されたセキュリティーの脆弱性に対応するためです。 symfony 1.3と1.4 で稼働している全てのアプリケーションを、早急に最新版へアップグレードすることを強く推奨します。

セキュリティー フィックス

symfony 1.3と1.4 には、GETパラメーターを含むURL(例: /feed?page=2)でもレンダリングされたテンプレートをキャッシュする機能が追加されました。 これらのパラメーターはユニークなキャッシュのキーを生成するために利用されています。 そして、このユニークなキャッシュのキーはキャッシュされたファイルを保存するディレクトリ構造を生成するためにも利用されています。

これらのアプリケーションに入ってくるパラメーターに対して適切にクリーニング処理を行っていない場合は、ディレクトリ トラバーサルの危険性があります。たとえば、 /feed?page=..に対するレスポンスは実際よりも上層にあるキャッシュディレクトリに保存されてしまうでしょう。脆弱性を受けるかどうかはファイルのパーミッションがどのように指定されているかに依存します。また、settings.yml でキャッシュ機能を有効にしているアプリケーションが脆弱性の影響を受けます。

変更内容はr30031で確認できます。

アップグレード方法

Subversionでチェックアウトしている方はswitchで最新バージョンにします:

// symfony 1.3
$ svn switch http://svn.symfony-project.com/tags/RELEASE_1_3_6

// symfony 1.4
$ svn switch http://svn.symfony-project.com/tags/RELEASE_1_4_6

PEARをご利用の方はpearコマンドからアップグレードします:

// symfony 1.3
$ pear upgrade symfony/symfony-1.3.6

// symfony 1.4
$ pear upgrade symfony/symfony-1.4.6

セキュリティー上の問題を連絡する方法

既に記載していますが、セキュリティーに関連する問題点は直接Tracに書き込むよりは security [at] symfony-project [dot] com 宛連絡してください。そうすることで噂が広まる前にコアチームがレビューし対応することができるからです。

インデックス

Document Index

関連ページリスト

Related Pages

日本語ドキュメント

Japanese Documents

リリース情報
Release Information

Symfony2 に関する情報(公式) Books on symfony