Zwei Wochen nach dem Release von Zend Framework 2 erscheint das erste Bugfix Release. Mit Version 2.0.1 sollen jetzt alle Komponenten auf das ZendEscaper-API zugreifen. Zusätzlich wurden rund 60 kleinere Bugs beseitigt.
Die lückenhafte Escaper-Implementierung in Zend Framework 2.0.0 erleichtert XSS-Attacken. HTML, HTML Attribute oder URLs wurden dabei nicht korrekt escapet. Betroffen seid Ihr, wenn Ihr eine der folgenden Komponenten verwendet:
- ZendDebug
- ZendFeedPubSubHubbub
- ZendLogFormatterXml
- ZendTagCloudDecorator
- ZendUri
- ZendViewHelperHeadStyle
- ZendViewHelperNavigationSitemap
- ZendViewHelperPlaceholderContainerAbstractStandalone
Das Update erhaltet Ihr via Composer, Pyrus oder als Download.