[Warning] Kritische Schwachstelle in Zend Framework
Matthias Fraidl
fraidl at cert.at
Wed Jun 27 14:49:19 CEST 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult bekanntgegeben[1] hat, wurde eine Sicherheitslücke im
weit verbreiteten PHP-Framework ZEND[2] festgestellt.
Beschreibung
Durch eine Lücke[3] im XML-RPC Paket ist das ZEND-Framework anfällig
auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft
sowohl Clients als auch Server. Durch unsicheres Parsen mittels
SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC
(Extensible Markup Language - Remote Procedure Call) hinzugefügt
werden.
Auswirkungen
Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere
bei Servern, die das ZEND Framework verwenden) beliebige Dateien des
Betriebssystems auslesen oder TCP-Verbindungen öffnen.
Betroffene Systeme
* ZEND Framework 1.11.11
* ZEND Framework 1.12.0 RC1
* ZEND Framework 2.0.0beta4
Weiters sind auch zahlreiche Webanwendungen, welche auf das ZEND
Framework aufbauen potentiell gefährdet. Einige der bekanntesten
Anwendungen sind:
* Piwik [4] (Web Analyse)
* Magento [5] (E-Commerce Plattform)
* shopware [6] (E-Commerce Plattform)
Abhilfe
Der Hersteller des Frameworks hat bereits Patches[7] bereitgestellt,
welche sich dieses Problems annehmen
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
References
1.
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt
2. http://framework.zend.com/
3. http://framework.zend.com/security/advisory/ZF2012-01
4. http://piwik.org/
5. http://www.magentocommerce.com/
6. http://www.shopware.de/
7. http://framework.zend.com/download/latest
8.
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 900 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120627/fe8645af/attachment.sig>
More information about the Warning
mailing list