Problemas de seguridad

Este documento explica cómo maneja el equipo del núcleo de Symfony los problemas de seguridad (Symfony es el código alojado en el repositorio Git principal symfony/symfony).

Informando un problema de seguridad

Si crees que has encontrado un problema de seguridad en Symfony, no utilices la lista de correo o el rastreador de fallos y no lo divulgues públicamente. En su lugar, todos los problemas de seguridad se tienen que enviar a security arroba symfony.com. Los correos electrónicos enviados a esta dirección se reenvían a la lista de correo privado del equipo del núcleo.

Proceso de resolución

Para cada informe, en primer lugar, trata de confirmar la vulnerabilidad. Cuando esté confirmada, el equipo del núcleo trabaja en una solución siguiendo estos pasos:

1. Envía un reconocimiento al informante;
2. Trabaja en un parche;
3. Obtiene un identificador CVE (por «Common Vulnerabilities and Exposures») de cve.mitre.org;
4. Escribe un anuncio de seguridad para el blog oficial de Symfony sobre la vulnerabilidad. Este comunicado debería contener la siguiente información:
   • Un título que siempre incluya la cadena «Security release»;
   • Una descripción de la vulnerabilidad;
   • Las versiones afectadas;
   • La posible explotación;
   • Cómo afecta el parche/actualización/solución del problema a las aplicaciones;
   • El identificador CVE;
   • Créditos.
5. Envia el parche y anuncio al reportero para revisión;
6. Aplica el parche en todas las versiones mantenidas de Symfony;
7. Empaca las nuevas versiones para todas las versiones afectadas;
8. Publica un comunicado en el blog oficial de Symfony (también se tiene que añadir a la categoría «Avisos de seguridad»);
9. Actualiza la lista de avisos de seguridad (ve abajo).

Nota

Versiones que incluyen problemas de seguridad no se tendrían que hacer en sábado o domingo, excepto si la vulnerabilidad se difundió públicamente.

Nota

Mientras estemos trabajando en un parche, por favor, no reveles el tema públicamente.

Avisos de seguridad

Estas sección registra en orden cronológico las vulnerabilidades de seguridad que fueron corregidas en las diferentes versiones de Symfony, empezando en Symfony 1.0.0:

• Enero 17, 2013: Emisión de seguridad: Liberados *Symfony* 2.0.22 y 2.1.7 (CVE-2013-1348 y CVE-2013-1397)
• Diciembre 20, 2012: Emisión de seguridad: Symfony 2.0.20 y 2.1.5 (CVE-2012-6431 y CVE-2012-6432)
• Noviembre 29, 2012: Emisión de seguridad: Symfony 2.0.19 y 2.1.4
• Noviembre 25, 2012: Emisión de seguridad: Symfony 1.4.20 liberado (CVE-2012-5574)
• Agosto 28, 2011: Emisión de seguridad: Symfony 2.0.17 liberado
• Mayo 30, 2012: Emisión de seguridad: Symfony 1.4.18 liberado (CVE-2012-2667)
• Febrero 24, 2012: Emisión de seguridad: Symfony 2.0.11 liberado
• Noviembre 16, 2011: Emisión de seguridad: Symfony 2.0.6
• Marzo 21, 2011: symfony 1.3.10 y 1.4.10: versiones de seguridad
• Junio 29, 2010: Emisión de seguridad: symfony 1.3.6 y 1.4.6
• Mayo 31, 2010: symfony 1.3.5 y 1.4.5
• Febrero 25, 2010: Emisión de seguridad: 1.2.12, 1.3.3 y 1.4.3
• Febrero 13, 2010: symfony 1.3.2 y 1.4.2
• Abril 27, 2009: symfony 1.2.6: Parche de seguridad
• Octubre 3, 2008: symfony 1.1.4 liberado: Parche de seguridad
• Mayo 14, 2008: symfony 1.0.16 está fuera
• Abril 01, 2008: symfony 1.0.13 está fuera
• Marzo 21, 2008: ¡symfony 1.0.12 (finalmente) está fuera!
• Junio 25, 2007: symfony 1.0.5 publicado (parche de seguridad)