Kritische Schwachstelle in Zend Framework

27. Juni 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult bekanntgegeben hat, wurde eine Sicherheitslücke im weit verbreiteten PHP-Framework ZEND festgestellt.

Beschreibung

Durch eine Lücke im XML-RPC Paket ist das ZEND-Framework anfällig auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft sowohl Clients als auch Server. Durch unsicheres Parsen mittels SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC (Extensible Markup Language - Remote Procedure Call) hinzugefügt werden.

Auswirkungen

Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere bei Servern, die das ZEND Framework verwenden) beliebige Dateien des Betriebssystems auslesen oder TCP-Verbindungen öffnen.

Betroffene Systeme

• ZEND Framework 1.11.11
• ZEND Framework 1.12.0 RC1
• ZEND Framework 2.0.0beta4

Weiters sind auch zahlreiche Webanwendungen, welche auf das ZEND Framework aufbauen potentiell gefährdet. Einige der bekanntesten Anwendungen sind:

• Piwik (Web Analyse)
• Magento (E-Commerce Plattform)
• shopware (E-Commerce Plattform)

Abhilfe

Der Hersteller des Frameworks hat bereits Patches bereitgestellt, welche sich dieses Problems annehmen

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

---

Informationsquelle(n):

Kritische Schwachstelle in Zend Framework
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt