blog

Suivez nous sur les réseaux sociaux

  • Accueil
  • Nos Formations
  • Nos tutoriels
  • Forum
  • Les rédacteurs
  • Nous contacter
/ Accueil / Mise à jour de sécurité pour Symfony2
Print Email Shortlink

Mise à jour de sécurité pour Symfony2

Par Gaetan le 1 mars 2012 dans Symfony, Uncategorized

logo symfony2

L’équipe de Symfony dévoile cette semaine une mise à jour de sécurité pour Symfony, la version 2.0.11. Cette mise à jour permet de corriger une faille trouvée dans le composant Serializer. Il est évidemment conseillé de mettre à jour vos projets Symfony2 au plus vite.

Vous pouvez voir l’article publié sur l’exploit à l’adresse http://www.senseofsecurity.com.au/research/vulnerability-disclosure-policy

Pour résumer, le XMLEncoder de Symfony2 ne désactive pas le chargement d’entités externes au moment du parsing XML. Dans Symfony2, les classes XML peuvent être utilisées pour charger des objets dans l’API Symfony2.  En utilisant des entités externes, il est donc possible d’inclure des fichiers tiers venant du système de fichiers.

Un exemple simple pour démontrer l’exploit :

Démonstration de l'exploit Serializer Symfony2

Dans cet exemple, $x contiendra le contenu du fichier /etc/passwd encodé en base64.

Cette faille est corrigée dans la version 2.0.11 de Symfony, nous vous conseillons donc soit  d’appliquer le patch de sécurité, soit de mettre à jour votre version de Symfony.

Une fois la mise à jour/patch appliqué, il vous suffira d’exécuter la commande suivante (permet aussi de vider le cache):

Appliqué correctif exploit Serializer Symfony2

Gaetan
View all posts by Gaetan
's website
Partager sur: Mixx Delicious Digg Facebook Twitter
exploitserializersymfony2
  • Articles Similaires
  • Les + populaires
  • PowerPoint embarque Designer et Morph
  • Parlez-vous Caml ?
  • OnlyOffice tous azimuts
  • Dell développe les HPC
  • Linutop lance le Linutop XS !
  • App Annie lance ASO
  • Le toolkit v1.1 Windows Azure pour Social Games est enfin disponible
  • GWT 2.5 et plus si affinités
  • Google Drive enfin disponible !
  • Google Chrome débarque sur Android 4
  • Android Market devient Google Play
  • Google Swiffy met la seconde
← Previous Next →

Prochaines formations

Promotions sur nos prochaines formations remisées :

iPhone iPad développement avancé du 11 au 14 Aout - 1100 euros HT

Formation Xamarin développement - 11 au 14 Aout 1800 euros HT

Formation Introduction à la programmation -17 au 19 septembre 2014 - 750 HT

Formation Android - 11 au 14 Aout - 1100 euros HT

Formation Python du 15 au 18 Juillet 2014 - 800 euros HT




Toutes nos promotions ...

Edito du 21 Janvier

Bonjour et bienvenue à tous sur notre blog

Tout d'abord nos meilleurs voeux à vous, nous espérons que cette année vous apporte le meilleur.

2013 a été une excellente année pour Mistra Formation, nous avons doublé notre nombre de formations, nous avons dépassé les 1000 visiteurs uniques par jour et pour tout cela: MERCI.

Pour 2014, nous allons investir de nouveau: le nouveau site internet arrive, de nombreux tutoriels sont en marche et nous passons à 3 rédacteurs pour notre blog.

Côté formations, n'hésitez pas à découvrir nos nouveautés 2014: Sharepoint 2010, Windows 8 ou encore NodeJS.

Comme toujours, n'hésitez pas à nous donner votre avis sur les réseaux sociaux ou sur notre forum.

A très bientôt

L'équipe Mistra

Rechercher

  • Formations Java
  • Formations Mobiles
  • Formations Linux
  • Formation Ext JS
  • Formation HTML5
  • Formation Symfony 2
  • Formation iPhone / iPad
  • Annuaire RSS

Copyright © 2022 Mistra Blog.

Powered by WordPress and News.