11 января вышли новые версии сразу трёх веток Zend Framework: 1.9.7, 1.8.5 и 1.7.9.
Эти релизы содержат более 40 багфиксов и включают в себя уведомление о новой политике безопасности Zend Framework.
На протяжении декабря Padraic Brady проводил аудит безопасности фреймворка и работал совместно с разработчиками ZF над устранением проблем.
Устранены следующие уязвимости:
- Потенциальная инъекция MIME-type в Zend_File_Transfer
- В случае, если не установлено расширение ext/finfo и недоступна функция mime_content_type() использовался MIME-type, хранящийся в массиве $_FILES. Это небезопасно, т.к. злоумышленник может подделать значение. Теперь в случае, если не удаётся корректно определить MIME-type, передаётся значение “application/octet”
- Потенциальная XSS/HTML инъекция в Zend_Json
- Zend_Json_Encode не экранировал символ слэша (“/”), что противоречит спецификации JSON и открывает возможность для инъекции XSS или HTML. В новых версиях проблема устранена, символ экранируется.
- Потенциальная XSS-уязвимость в компоненте Zend_Service_ReCaptcha_MailHide
- Zend_Service_ReCaptcha_MailHide не проделывал валидацию переданного e-mail’а, а при вызове htmletities() не указывалась текущая кодировка, злоумыленник мог передать специально сформированную строку.
- Потенциальная XSS-уязвимость в Zend_Dojo_View_Helper_Editor
- Zend_Dojo_View_Helper_Editor использовал TEXTAREA вместо DIV’а. Команда разработчиков Dojo сообщила, что тектовый редактор на базе TEXTAREA не обеспечивает должный уровень безопасности.
- Потенциальный XSS из-за несовместимости кодировок
- Множество классов ZF, в том числе Zend_Form, Zend_Filter, Zend_Form, Zend_Log и Zend_View, вызывали htmlentities() и htmlspecialchars() с неуказанными или жёстко прописанными кодировками. При использовании нетипичных кодировок (например, UTF-7) кодировка может определиться некорректно и открыть возможность злоумышленнику передать XSS-эксплойт. Рекомендуется в каждом из этих компонентов задавать кодировку явно, не надеясь на автоопределение.
Рекомендуется обновить свои приложения для устранения вышеперечисленных проблем.
О не связанных с безопасностью изменениях вы можете узнать по ссылкам:
http://framework.zend.com/changelog/1.9.7
http://framework.zend.com/changelog/1.8.5
http://framework.zend.com/changelog/1.7.9
Это последний запланированный релиз ветки 1.9. До конца этого месяца планируется выпустить версию 1.10.0
Подробнее о релизе:
В Zend DevZone от Matthew Weier O’Phinney
На blog.astrumfutura.com от Padraic Brady
