Matthew Weier O’Phinney hat die neuen Versionen in einem Blogpost im Zend-Framework-Blog vorgestellt.
Zend-Framework-Updates bringen wichtige Security-Fixes mit sich
Im Vordergrund der neuen Versionen von Zend Framework stehen vor allem mehrere Security-Fixes. Zum einen sorgt eine Schwachstelle im Zend-Framework-Core dafür, dass falsche Berechtigungs-Masken beim Erstellen von Directories und Dateien im Library-Code für Local Arbitrary Code Execution und Privilege Escalation sorgen können (ZF2015-07). Betroffen von der Schwachstelle sind sowohl Zend Framework 1 und 2, als auch zf-apigility-doctrine
und zend-cache
.
Zend Framework 1 ist zudem von einer weiteren Schwachstelle betroffen, bei der Angreifer Null-Byte-Injection von SQL-Statements, die über die Zend-Framework-Adapter pdo_dblib (FreeTDS)
und pdo_sqlite
ausgegeben wurden, anwenden können (ZF2015-08). Usern wird das Update auf eine der neuen Versionen daher dringend empfohlen.
Mehr Informationen zu den einzelnen Schwachstellen bieten die entsprechenden Security Advisories:
Zudem bringen Zend Framework 1.12.16 und 2.4.8 auch jeweils mehrere Bug-Fixes mit sich; die einzelnen Änderungen können in den jeweiligen Changelogs nachvollzogen werden:
Die neuen Framework-Versionen stehen auf der Produktwebsite zum Download zur Verfügung.
Webperformance und Page Speed 2021
mit Sven Wolfermann (maddesigns)
UX Design: Kitsch – du willst es doch auch!
mit Lutz Schmitt (Lutz Schmitt Design & Consulting)
SEO loves PR: Wie zwei Disziplinen gemeinsam erfolgreich sein können
mit Anne Kiefer (sexeedo GmbH)
Advanced Web Pentesting
mit Christian Schneider (Schneider IT-Security)
What Star Wars Taught Me About Secure System Design
mit Anne Oikarinen (Nixu Corporation)