Faille symfony et mise à jour 1.0.16

Cette correction est l'unique changement entre cette version et la précédente, mais elle justifiait à elle seule la mise à jour. Vous trouverez plus d'informations à propos de la procédure l'exploitant sur le ticket #1617. Brièvement, avant la correction de cette brèche de sécurité, un attaquant pouvait outrepasser le processus de validation en changeant la casse d’un nom de fichier appelé.
Le patch de cette faille a provoqué quelques soubresauts du fait que l'auteur de la découverte l'avait faite remonter il y a plus d'un an.
Concernant la faille, tout le monde n'est pas forcément touché, il faut que votre application utilise :action comme paramètre de règle de routage, ce qui est le cas par défaut.
Pour le savoir, allez à l'emplacement "data/skeleton/app/app/config/" puis regardez dans le fichier "routing.yml".
Si vous trouvez la mention :
default:
url: /:module/:action/* alors vous êtes affecté par cette faille et l'équipe de symfony vous encourage vivement à mettre à jour le plus rapidement votre version.
Pour la mise à jour :
- Si vous êtes en version 1.0 : vous pouvez patcher directement le fichier sfExecutionFilter.class.php comme indiqué sur le changeset #8922, ou utiliser PEAR (pear upgrade symfony/symfony-1.0.16) ou bien encore le paquet Debian.
- Si vous êtes en version 1.1 : vous pouvez patcher directement le fichier sfExecutionFilter.class.php comme indiqué sur le changeset #8925.
Le patch sera inclus dans la version 1.1RC.
PS : Un peu hors sujet, mais restant sur les failles critiques, si vous utilisez SSH, que vous êtes sous Debian (ou ses dérivées) et que ce n'est pas déjà fait, pensez à mettre à jour aussi si vous ne voulez que l'on puisse prédire" vos clefs.

Proposé par Hourdeaux Christophe