Symfony 2.0.11 behebt Sicherheitslücke im Serializer
Kommentare

Anwender des PHP-Frameworks Symfony sollten alsbald möglich ein Update auf 2.0.11 vollziehen, wenn sie die Serializer-Komponente produktiv einsetzen. Eine Sicherheitsfirma hat einen kritischen Fehler

Anwender des PHP-Frameworks Symfony sollten alsbald möglich ein Update auf 2.0.11 vollziehen, wenn sie die Serializer-Komponente produktiv einsetzen. Eine Sicherheitsfirma hat einen kritischen Fehler im Encoder-Teil dieser Komponente eingereicht und beschrieben:

Die XMLEncoder-Komponente von Symfony 2.0.x kann keine externen Entitäten deaktivieren, wenn sie XML parst. Im Symfony2-Framework kann die XML-Klasse benutzt werden, um Objekte zu zerlegen, oder um es als Teil eines APIs einzusetzen. Verwendet man allerdings externe Entitäten, so lassen sich willkürlich Dateien aus dem Dateisystem einbeziehen.

Weitere Bugfixes wurden im Changelog festgehalten. Der Fehler lässt sich im Update beheben. Dazu sind die deps- und deps.lock-Pakete notwendig, die anschließend über das Vendors-Skript installiert werden. Alternativ funktioniert das Update auch via PEAR, Composer, GitHub oder mit dem Stand-Alone Patch.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -