Deutsch | English

Kritische Schwachstelle in Zend Framework

27. Juni 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult bekanntgegeben hat, wurde eine Sicherheitslücke im weit verbreiteten PHP-Framework ZEND festgestellt.

Beschreibung

Durch eine Lücke im XML-RPC Paket ist das ZEND-Framework anfällig auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft sowohl Clients als auch Server. Durch unsicheres Parsen mittels SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC (Extensible Markup Language - Remote Procedure Call) hinzugefügt werden.

Auswirkungen

Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere bei Servern, die das ZEND Framework verwenden) beliebige Dateien des Betriebssystems auslesen oder TCP-Verbindungen öffnen.

Betroffene Systeme

  • ZEND Framework 1.11.11
  • ZEND Framework 1.12.0 RC1
  • ZEND Framework 2.0.0beta4
Weiters sind auch zahlreiche Webanwendungen, welche auf das ZEND Framework aufbauen potentiell gefährdet. Einige der bekanntesten Anwendungen sind:

Abhilfe

Der Hersteller des Frameworks hat bereits Patches bereitgestellt, welche sich dieses Problems annehmen

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Kritische Schwachstelle in Zend Framework
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitslücke in Mac OSX 10.13.1 "High Sierra" - Workaround verfügbar
28. November 2017 Beschreibung Der ...
Schwerwiegende Sicherheitsprobleme in Mailserver-Software Exim - Workaround verfügbar
27. November 2017 Beschreibung Das ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss