Zend Framework 1.12.16 und 2.4.8 erschienen

Neue Framework-Versionen bringen Security-Fixes mit sich

Zend Framework 1.12.16 und 2.4.8 sind erschienen

Gleich zwei neue Updates sind für Zend Framework erschienen. So erhielten sowohl der 1.x-er-Release-Zweig als auch die aktuelle Long-Term-Support-Version Zend Framework 2.4.x mit den Versionen 1.12.16 und 2.4.8 jeweils ein Update. Im Vordergrund stehen dabei vor allem mehrere Security-Fixes für das beliebte Framework.

Matthew Weier O’Phinney hat die neuen Versionen in einem Blogpost im Zend-Framework-Blog vorgestellt.

Zend-Framework-Updates bringen wichtige Security-Fixes mit sich

Im Vordergrund der neuen Versionen von Zend Framework stehen vor allem mehrere Security-Fixes. Zum einen sorgt eine Schwachstelle im Zend-Framework-Core dafür, dass falsche Berechtigungs-Masken beim Erstellen von Directories und Dateien im Library-Code für Local Arbitrary Code Execution und Privilege Escalation sorgen können (ZF2015-07). Betroffen von der Schwachstelle sind sowohl Zend Framework 1 und 2, als auch zf-apigility-doctrine und zend-cache.

Zend Framework 1 ist zudem von einer weiteren Schwachstelle betroffen, bei der Angreifer Null-Byte-Injection von SQL-Statements, die über die Zend-Framework-Adapter pdo_dblib (FreeTDS) und pdo_sqlite ausgegeben wurden, anwenden können (ZF2015-08). Usern wird das Update auf eine der neuen Versionen daher dringend empfohlen.

Mehr Informationen zu den einzelnen Schwachstellen bieten die entsprechenden Security Advisories:

Zudem bringen Zend Framework 1.12.16 und 2.4.8 auch jeweils mehrere Bug-Fixes mit sich; die einzelnen Änderungen können in den jeweiligen Changelogs nachvollzogen werden:

Die neuen Framework-Versionen stehen auf der Produktwebsite zum Download zur Verfügung.