Zend Framework 2.0.1 schließt Fehler im Escaping
Kommentare

Zwei Wochen nach dem Release von Zend Framework 2 erscheint das erste Bugfix Release. Mit Version 2.0.1 sollen jetzt alle Komponenten auf das ZendEscaper-API zugreifen. Zusätzlich wurden rund 60 kleinere

Zwei Wochen nach dem Release von Zend Framework 2 erscheint das erste Bugfix Release. Mit Version 2.0.1 sollen jetzt alle Komponenten auf das ZendEscaper-API zugreifen. Zusätzlich wurden rund 60 kleinere Bugs beseitigt.

Die lückenhafte Escaper-Implementierung in Zend Framework 2.0.0 erleichtert XSS-Attacken. HTML, HTML Attribute oder URLs wurden dabei nicht korrekt escapet. Betroffen seid Ihr, wenn Ihr eine der folgenden Komponenten verwendet:

  • ZendDebug
  • ZendFeedPubSubHubbub
  • ZendLogFormatterXml
  • ZendTagCloudDecorator
  • ZendUri
  • ZendViewHelperHeadStyle
  • ZendViewHelperNavigationSitemap
  • ZendViewHelperPlaceholderContainerAbstractStandalone

Das Update erhaltet Ihr via Composer, Pyrus oder als Download.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -