Matthew Weier O’Phinney hat die neuen Versionen in einem Blogpost im Zend-Framework-Blog vorgestellt.

Zend-Framework-Updates bringen wichtige Security-Fixes mit sich

Im Vordergrund der neuen Versionen von Zend Framework stehen vor allem mehrere Security-Fixes. Zum einen sorgt eine Schwachstelle im Zend-Framework-Core dafür, dass falsche Berechtigungs-Masken beim Erstellen von Directories und Dateien im Library-Code für Local Arbitrary Code Execution und Privilege Escalation sorgen können (ZF2015-07). Betroffen von der Schwachstelle sind sowohl Zend Framework 1 und 2, als auch zf-apigility-doctrine und zend-cache.

Zend Framework 1 ist zudem von einer weiteren Schwachstelle betroffen, bei der Angreifer Null-Byte-Injection von SQL-Statements, die über die Zend-Framework-Adapter pdo_dblib (FreeTDS) und pdo_sqlite ausgegeben wurden, anwenden können (ZF2015-08). Usern wird das Update auf eine der neuen Versionen daher dringend empfohlen.

Mehr Informationen zu den einzelnen Schwachstellen bieten die entsprechenden Security Advisories:

• ZF2015-07
• ZF2015-08

Zudem bringen Zend Framework 1.12.16 und 2.4.8 auch jeweils mehrere Bug-Fixes mit sich; die einzelnen Änderungen können in den jeweiligen Changelogs nachvollzogen werden:

• Zend Framework 1.12.16
• Zend Framework 2.4.8

Die neuen Framework-Versionen stehen auf der Produktwebsite zum Download zur Verfügung.

Diversity matters – Onlinemarketing 2020

mit Astrid Kramer (Astrid Kramer Consulting)

Das Recht auf Privatsphäre – eine Chance für UX

mit Lutz Schmitt (Lutz Schmitt Design & Consulting)

The Revenge of Structured Data

mit Stephan Cifka (Performics Germany GmbH)