symfony 1.1.4 released
symfonyの1.1系がリリースされています。
セキュリティfixなので1.1系以上を使っている人はお忘れなく。
ref:http://www.symfony-project.org/blog/2008/10/03/symfony-1-1-4-released-security-fix
ちなみにどこが問題かというとsfFormのValidatorで利用できるパラメータの一部がHTMLエスケープされないため、エラー時にXSSが実行される可能性があったというものです。
おもしろいのが、このバグが見つかった経緯です。
前日にファビアンがセキュリティについてのブログを書きました。
ref: http://www.symfony-project.org/blog/2008/10/03/security-must-be-taken-seriously
「セキュリティには十分注意しなければならない」といった記事です。
Railsで定義外の値をうけとっても処理してしまうといった記事を例*1にsymfonyではsfFormで定義していないパラメータは標準でうけとらないし、もしそういう値があればエラーになります。そして受け取りたかったらallow_extra_fieldsオプションを使えばいいから大丈夫なんだよといった内容でした。
すると、そのコメントに今回のXSSの脆弱性について指摘があり*2速攻でリリースされたというわけです。
結局フレームワークを使うから必ず安全という考えはないってことです。フレームワークに限らず開発言語を選択するときもそうなんですけどね。