Gefunden oder nicht gefunden werden – das ist hier die Frage.
 

Der Kunde kommt zu Ihnen – weil Sie auf ihn zugehen.
 

Referenzen sprechen für Qualität - Links beweisen das!
 

Lassen Sie sich bewerten - Ihre Netzwerkreputation.
 

Rufen Sie uns an:

Renommierte Partner

Blogroll

Inside AdWords Blog-Deutsch
GoogleWatchBlog.de
Linkmafia.org
Hamburg-Startups.de
mole2.de

Zend PHP-Framework – sicher und stabil

geschrieben von martin am 15. Januar 2010

Das PHP-Framework Zend erhält ein neues Update mit sechs Security-Issues und über 40 Bug-Fixes. Die Varianten 1.9.7, 1.8.5 und 1.7.9 stehen als Downloads zur Verfügung.

Bereits Anfang dieser Woche wurden die neuen Versionen bereitgestellt. Das Zend Framework gilt auf Grund des modularen Aufbaus und der Objektorientierung als eines der beliebtesten Frameworks in PHP.

Aufgebaut ist das Framework in verschiedene Komponenten, die auch unabhängig voneinander genutzt werden können. Im Zentrum des Systems steht das Konzept von Model-View-Controller, also der strikten Trennung zwischen Datenmodell, Präsentation und Programmsteuerung. Die einzelnen Klassen und Pakete können jedoch auch lösgelöst im eigenen PHP-Quellcode verwendet werden.

Problematisch waren in der letzten Version u. a. Zend_Json_Encoder, Zend_Dojo_View_Helper_Editor und Zend_Filter_StripTags. Die entsprechenden Funktionen könnten durch falsches Kodieren anfällig für XSS-Attacken sein. Beim “Cross Site Scripting” (kurz “XSS”) schleust ein Angreifer Javascript über Eingabefelder in die Web-Applikation ein, das an anderer Stelle wieder ausgeführt wird. Besagte Sicherheitslücke kann bei Verwendung dieser Komponenten zum Tragen kommen und damit Anwendungen unsicher machen. Zudem würden einige Klassen aus Zend_Form, Zend_Filter, Zend_Log und Zend_View unter bestimmten Umständen XSS begünstigen.

In Zend_File_Transfer fand sich zudem ein Sicherheitsproblem, das Datei-Uploads betrifft. Mit einer MIME-Type-Injection wäre es möglich, Schad-Code im Browser eines Benutzers auszuführen und so bspw. an Session-Cookies zu gelangen, um Passwörter zu umgehen.

Konkrete Probleme in populären Web-Anwendungen, die auf die veralteten Versionen zurückgehen, sind keine bekannt. Auf Grund der weiten Verbreitung des Zend Frameworks wird PHP-Entwicklern dennoch ein zeitnahes Update empfohlen.

Net-Security.org: Zend Framework updates fix security vulnerabilities

Zend Framework – Latest Downloads

Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • MisterWong
  • Y!GG
  • Webnews
  • Digg
  • del.icio.us
  • StumbleUpon
  • Reddit
Tags: , , , ,


Eine Antwort zu “Zend PHP-Framework – sicher und stabil”

  1. Tweets die PHP Zend Framework neue Version Sicherheitsupdate | CloudMarketing erwähnt -- Topsy.com sagt:
    15. Januar 2010 um 22:41

    [...] Dieser Eintrag wurde auf Twitter von der_Heiko, Now Solutions erwähnt. Now Solutions sagte: PHP Zend Framework neue Version Sicherheitsupdate | CloudMarketing – http://redir.is/lQ via http://redir.is/a [...]

Artikel (RSS) und Kommentare (RSS)
Impressum