[Warning] Kritische Schwachstelle in Zend Framework

Matthias Fraidl fraidl at cert.at
Wed Jun 27 14:49:19 CEST 2012 

   CERT.at ersucht um Beachtung der folgenden Meldung.
   Wie SEC Consult bekanntgegeben[1] hat, wurde eine Sicherheitslücke im
   weit verbreiteten PHP-Framework ZEND[2] festgestellt.

Beschreibung

   Durch eine Lücke[3] im XML-RPC Paket ist das ZEND-Framework anfällig
   auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft
   sowohl Clients als auch Server. Durch unsicheres Parsen mittels
   SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC
   (Extensible Markup Language - Remote Procedure Call) hinzugefügt
   werden.

Auswirkungen

   Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere
   bei Servern, die das ZEND Framework verwenden) beliebige Dateien des
   Betriebssystems auslesen oder TCP-Verbindungen öffnen.

Betroffene Systeme

     * ZEND Framework 1.11.11
     * ZEND Framework 1.12.0 RC1
     * ZEND Framework 2.0.0beta4

   Weiters sind auch zahlreiche Webanwendungen, welche auf das ZEND
   Framework aufbauen potentiell gefährdet. Einige der bekanntesten
   Anwendungen sind:
     * Piwik [4] (Web Analyse)
     * Magento [5] (E-Commerce Plattform)
     * shopware [6] (E-Commerce Plattform)

Abhilfe

   Der Hersteller des Frameworks hat bereits Patches[7] bereitgestellt,
   welche sich dieses Problems annehmen

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

References

   1.
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt
   2. http://framework.zend.com/
   3. http://framework.zend.com/security/advisory/ZF2012-01
   4. http://piwik.org/
   5. http://www.magentocommerce.com/
   6. http://www.shopware.de/
   7. http://framework.zend.com/download/latest
   8.
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 900 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120627/fe8645af/attachment.sig>

More information about the Warning mailing list