Aktuelle Releases aus dem Zend-Framework-Universum: ZF 1.12.14, ZF 2.4.6 und ZF 2.5.2

Zend Framework stopft kritische Sicherheitslücke
Kommentare

Matthew Weier O’Phinney hat gleich drei neue Versionen des Zend Framework veröffentlicht: ZF 1.12.14, ZF 2.4.6 und ZF 2.5.2 enthalten einen Fix für eine kritische Sicherheitslücke, die unter aktiver Mithilfe von Anthony Ferrara geschlossen wurde.

Zend Framework ZF2015-06

Die Sicherheitslücke in den Zend-Framework-Versionen 1.12.14, 2.4.6 und 2.5.2 betreffen die kritische Schwachstelle ZF2015-06 in der Komponente ZendXml. Dabei handelt es sich um eine mögliche XML Ecternal Entity Injection sowie um eine mögliche XML Entity Expansion, wenn ZendXml unter bestimmten Bedingungen unter PHP-FPM läuft. Wenn sich das XML-Payload in einem Multibyte-Encoding befindet, schlugen die Sicherheitsmechanismen in der angesprochenen Umgebung fehl.

Um die Sache noch etwas komplizierter zu machen, betrifft diese Sicherheitslücke alle User, die eine PHP-Version kleiner als 5.5.22, 5.6.6 oder PHP 7 – dort der aktuelle Development-Zweig – verwenden.

Um alle Nutzer vor dieser Schwachstelle zu schützen, wurde daher ZendXml in Version 1.0.1 veröffentlicht. Die Komponente ist den nun veröffentlichten Zend-Framework-Versionen enthalten.

Detaillierte Informationen zur Schwachstelle findet man im entsprechenden Security Advisory.

ZF 1.12.14, 2.4.6 und 2.5.2

Natürlich sind das nicht alle Neuerungen. So wurden im Zend Framework 2.4.6 und 2.5.2 ein Bug in Zend\InputFilter behoben.

Noch spannender wird es da für Nutzer des Z-end Framework 1.12, da hier im aktuellen Release zwei weitere Breaking Changes eingeführt wurden. Namentlich betrifft das die Services Zend_Service_DeveloperGarden und Zend_Service_Technocrati, da das DeveloperGarden-API seit Ende Juni 2015 nicht mehr existiert und das Technocrati-API bereits seit geraumer Zeit nicht mehr erreichbar ist.

Alle Informationen findet man en Detail in den Changelogs zu Zend Framework 1.12.14, 2.4.6 und 2.5.2.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -