安全释放:1.2.12 1.3.3和3

SQL注入漏洞的原则管理发电机今天早些时候报道已解决在这些1.2.12,1.3.3和3安全释放。这个漏洞仅限于原则管理发电机,不影响推动管理发电机或任何其他方面symfony的教义集成。ob娱乐下载

我们建议使用原则的所有项目管理发电机立即升级到这些最新版本。

该漏洞

管理发电机在sfDoctrinePlugin没有正确过滤开关的GET请求参数排序顺序记录清单页面。通过操纵这个参数的URL,可以注入任意SQL查询填充列表页面。我们关闭这个孔通过一个简单的“白名单”过滤器检查这个参数是“asc”或“desc”,不区分大小写的。

如何报告安全问题

我们应该复习的过程报告symfony核心团队的安全问题。ob娱乐下载这个过程,描述在symfonob娱乐下载y维基,除了报告其他问题用symfony的代码,因为安全问题需要特殊考虑。ob娱乐下载如果你找到一个安全漏洞,请不要发布symfony-users邮件列表。ob娱乐下载相反,发送一个电子邮件安全在前台点comob娱乐下载描述的脆弱性和它将很快被限定和解决。一旦释放,修复的漏洞和修复将在这个博客上公布。

如何升级

如果你签出一个标签的一个副本从Subversion,切换到最新。

/ /ob娱乐下载 symfony svn开关http://svn.symfony-project.com/tags/RELEASE_1_2_12 / symfony 1.3美元1.2 svn开关http://svn.symfony-project.com/tags/RELEASE_1_3_3 / symfony 1.4美元svn开关http://svn.symfony-project.com/tags/RELEASE_1_4_3

如果您正在使用pear包然后做适合你。

/ /ob娱乐下载 symfony 1.2美元梨升级symfony symfony-1.2.12 / / symfony 1.3美元梨升级symfony symfony-1.3.3 / / symfony 1.4美元梨symfony / symfony-1.4.3升级

一旦完成,明确项目的缓存。

美元php ob娱乐下载symfony缓存:清楚

如果你想下载安全修复补丁,你可以这样做的1.2,1.3或1.4分支。