Symfony 2.0.11 behebt Sicherheitslücke im Serializer
Keine Kommentare

Anwender des PHP-Frameworks Symfony sollten alsbald möglich ein Update auf 2.0.11 vollziehen, wenn sie die Serializer-Komponente produktiv einsetzen. Eine Sicherheitsfirma hat einen kritischen Fehler

Anwender des PHP-Frameworks Symfony sollten alsbald möglich ein Update auf 2.0.11 vollziehen, wenn sie die Serializer-Komponente produktiv einsetzen. Eine Sicherheitsfirma hat einen kritischen Fehler im Encoder-Teil dieser Komponente eingereicht und beschrieben:

Die XMLEncoder-Komponente von Symfony 2.0.x kann keine externen Entitäten deaktivieren, wenn sie XML parst. Im Symfony2-Framework kann die XML-Klasse benutzt werden, um Objekte zu zerlegen, oder um es als Teil eines APIs einzusetzen. Verwendet man allerdings externe Entitäten, so lassen sich willkürlich Dateien aus dem Dateisystem einbeziehen.

Weitere Bugfixes wurden im Changelog festgehalten. Der Fehler lässt sich im Update beheben. Dazu sind die deps- und deps.lock-Pakete notwendig, die anschließend über das Vendors-Skript installiert werden. Alternativ funktioniert das Update auch via PEAR, Composer, GitHub oder mit dem Stand-Alone Patch.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -