Kritische Schwachstelle in Zend Framework
27. Juni 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult bekanntgegeben hat, wurde eine Sicherheitslücke im weit verbreiteten PHP-Framework ZEND festgestellt.
Informationsquelle(n):
Kritische Schwachstelle in Zend Framework
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult bekanntgegeben hat, wurde eine Sicherheitslücke im weit verbreiteten PHP-Framework ZEND festgestellt.
Beschreibung
Durch eine Lücke im XML-RPC Paket ist das ZEND-Framework anfällig auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft sowohl Clients als auch Server. Durch unsicheres Parsen mittels SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC (Extensible Markup Language - Remote Procedure Call) hinzugefügt werden.Auswirkungen
Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere bei Servern, die das ZEND Framework verwenden) beliebige Dateien des Betriebssystems auslesen oder TCP-Verbindungen öffnen.Betroffene Systeme
- ZEND Framework 1.11.11
- ZEND Framework 1.12.0 RC1
- ZEND Framework 2.0.0beta4
Abhilfe
Der Hersteller des Frameworks hat bereits Patches bereitgestellt, welche sich dieses Problems annehmenHinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Kritische Schwachstelle in Zend Framework
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt