Sicherheitsrelevante Upgrades des Zend Framework
Die PHP-Schmiede Zend hat gleich drei Versionen ihres PHP-Frameworks veröffentlicht, die unter anderem auch Sicherheits-Updates für potenzielle XSS-Schwachstellen und eine MIME-Typ-Einschleusung enthalten.
- Alexander Neumann
Die Entwickler des Zend Framework haben drei Versionen auf einen Streich veröffentlicht. Es handelt sich um die Releases 1.9.7, 1.8.5 und 1.7.9 des PHP-Frameworks. Neben insgesamt 40 Bugfixes gibt es es auch sechs Sicherheits-Überarbeitungen für fünf mögliche Cross-Site-Scripting-Schwachstellen (XSS) und eine MIME-Typ-Einschleusung. Die neuen Versionen sind die ersten, die Zends neuen Sicherheitsrichtlinien entsprechen, worauf ein aktueller Eintrag im "Maugrim The Reaper's Blog" ausführlich eingeht.
Hinsichtlich der 1.9.x-Entwicklung weisen die Entwickler darauf hin, dass es sich bei der neuen Version wohl um das letzte Release dieser Entwicklungsschiene handeln soll. Nach einer im Dezember veröffentlichten Alpha für Zend Framework 1.10.0 scheint es diese Woche noch eine Beta zu geben, bevor die finale Produktversion Ende des Monats erscheinen soll.
Bei den Security-Updates handelt es im im Detail um:
- ZF2010-06: Potential XSS or HTML Injection vector in Zend_Json
- ZF2010-05: Potential XSS vector in Zend_Service_ReCaptcha_MailHide
- ZF2010-04: Potential MIME-type Injection in Zend_File_Transfer
- ZF2010-03: Potential XSS vector in Zend_Filter_StripTags when comments allowed
- ZF2010-02: Potential XSS vector in Zend_Dojo_View_Helper_Editor
- ZF2010-01: Potential XSS vectors due to inconsistent encodings
