symfony 1.0.16 がリリースされ、重要なセキュリティホールが修正されました。リリース感のチェンジログは非常に小さいです。 変更点は以下の通りです:
この問題は、チケット#1617に説明されています。
攻撃者はバリデーションをすり抜けて安全でないデータをアクションに渡す。アプリケーションは:actionプレースホルダーをルーティングルールにに使っているときのみ脆弱性があります。これは、デフォルトのsymfonyルーティング(/:module/:action/*)を使っている場合当てはまります。
symfony 1.1を使っているならば、1.0コンパチブルレイヤーを使っているときのみ脆弱性があります。
直ちにアップグレードすることをすべての人にお勧めします。
1.0向け: パッチをhttp://trac.symfony-project.com/changeset/8922から直接適用するか、PEARパッケージを利用して1.0.16にアップグレード(pear upgrade symfony/symfony-1.0.16)、もしくはDebianパッケージを利用してアップグレードしてください。
1.1向け: http://trac.symfony-project.com/changeset/8925のパッチを適用してください。このパッチは次回の1.1リリース候補にに含まれます。
