Apigility 1.0.3 mit Security Fixes. Und Tests.
Kommentare
Kurz nach der Veröffentlichung von Apigility 1.0.2 hat Matthew Weier O’Phinney Version 1.0.3 nachgelegt. Notwendig wurde dieser Schritt, da sich in mit...

Kurz nach der Veröffentlichung von Apigility 1.0.2 hat Matthew Weier O’Phinney Version 1.0.3 nachgelegt. Notwendig wurde dieser Schritt, da sich in mit Datenbank verbundenen REST-Services ein kritischer Fehler eingeschlichen hatte. Außerdem wurde ein Bug in der Dokumentation gefixt. Und fehlende Tests wurden ebenfalls nachgereicht; das wurde bemerkt, als man feststellte, dass zf-deploy unter gewissen Umständen einfach seinen Dienst versagte.

Von Doku-Fehlern, zf-deploy und fehlenden Tests

Zu den unaufgeregten Neuerungen zählt mit Sicherheit der Fix in der Dokumentation. In der HTML-Version gab es nämlich einen Fehler, der die korrekte Darstellung der Dokumentation im Internet Explorer verhinderte.

Ein weiterer Bugfix betriff das Tool zf-deploy:

We were notified that the logic for finding a Composer executable in zf-deploy would fail in some situations. A fix was contributed that better resolves the path to the executable, particularly in situations where a composer.phar must first be downloaded.

Spannend ist dabei übrigens auch die Tatsache, dass Enrico Zimuel beim Review des Fixes festgestellt hat, dass die Testabdeckung der ZFDeploy-Funktionalitäten gelinde gesagt zu wünschen übrig ließen. Mit dem aktuellen Release ist das allerdings ebenfalls ausgemerzt.

Zum Thema Sicherheit

Ein relativ kritischer Fehler hatte sich indes in Version 1.0.2 eingeschlichen, genauer gesagt in die Klasse ZFApigilityDbConnectedResource.

Alle Aufrufe der create()-Methode liefen dabei korrekt durch den Input-Filter. die Methoden update() und patch() hingegen liefen am Filter vorbei und boten so einen Angriffspunkt für potenzielle Missetäter.

Zwar handle es sich dabei nicht um eine SQL-Injection-Schwachstelle, da Datenbank-Updates noch immer durch den Abstraction Layer laufen würden, dennoch könnte es unter gewissen Voraussetzungen dazu kommen, dass das Einschleusen ungefilterter Daten zu Fehlern in der Datenbank führen könnte.

Weitere Informationen zur Security Fix findet man im Security Advisory AG2014-01.

Apigility 1.0.3 steht ab sofort zum Download bereit und sollte zumindest von Nutzern der oben genannten Klasse dringend installiert werden.

Aufmacherbild: API – Application program interface words written on paper von Shutterstock / Urheberrecht: Raywoo

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -