Segnalare un problema di sicurezza¶

Se si è trovato un problema di sicurezza in Symfony, non utilizzare la lista o il bug tracker e non diffonderlo pubblicamente. Tutte le questioni di sicurezza devono essere inviate a security [at] symfony-project.com. Le email inviate a questo indirizzo verranno inoltrate alla squadra di sviluppo di Symfony .

Processo di risoluzione¶

Per ogni rapporto, prima si cercherà di confermare la vulnerabilità. Quando confermata, la squadra di sviluppo lavorerà a una soluzione seguendo questi passi:

1. Inviare un riconoscimento al segnalatore;
2. Lavorare su una patch;
3. Ottenere un identificatore CVE da mitre.org;
4. Scrivere un annuncio sul blog di Symfony, che descriva la vulnerabilità. Tale post dovrebbe contenere le seguenti informazioni:
   • un titolo che includa sempre la stringa "Security release";
   • una descrizione della vulnerabilità;
   • le versioni afflitte;
   • i possibili exploit;
   • come applicare patch/aggiornamenti/workaround alle applicazioni afflitte;
   • l'identificatore CVE;
   • riconoscimenti.
5. Inviare patch e annuncio al segnalante per una revisione;
6. Applicare la patch a tutte le versioni di Symfony in manutenzione;
7. Pacchettizzare nuove versioni per tutte le versioni afflitte;
8. Pubblicare il post sul blog ufficiale di Symfony (va anche aggiunti alla categoria "Security Advisories");
9. Aggiornare la lista degli avvisi di sicurezza (vedere sotto).

Bollettini di sicurezza¶

Questa sezione elenca le vulnerabilità di sicurezza che sono state risolte in Symfony, partendo da Symfony 1.0.0:

• 17 gennaio 2013: Security release: Symfony 2.0.22 and 2.1.7 released (CVE-2013-1348 and CVE-2013-1397)
• 20 dicembre 2012: Security release: Symfony 2.0.20 and 2.1.5 (CVE-2012-6431 and CVE-2012-6432)
• 29 novembre 2012: Security release: Symfony 2.0.19 and 2.1.4
• 25 novembre 2012: Security release: symfony 1.4.20 released
• 28 agosto 2012: Security Release: Symfony 2.0.17 released
• 30 maggio 2012: Security Release: symfony 1.4.18 released
• 24 febbraio 2012: Security Release: Symfony 2.0.11 released
• 16 novembre 2011: Security Release: Symfony 2.0.6
• 21 marzo 2011: symfony 1.3.10 and 1.4.10: security releases
• 29i giugno 2010: Security Release: symfony 1.3.6 and 1.4.6
• 31 maggio 2010: symfony 1.3.5 and 1.4.5
• 25 febbraio 2010: Security Release: 1.2.12, 1.3.3 and 1.4.3
• 13 febbraio, 2010: symfony 1.3.2 and 1.4.2
• 27 aprile 2009: symfony 1.2.6: Security fix
• 3 ottobre 2008: symfony 1.1.4 released: Security fix
• 14 maggio 2008: symfony 1.0.16 is out
• 1 aprile 2008: symfony 1.0.13 is out
• 21 marzo 2008: symfony 1.0.12 is (finally) out !
• 25 giugno 2007: symfony 1.0.5 released (security fix)