framework.zend.com
Stable релиз 2.0 / 1.12

Zend_Filter_StripTags предупреждение безопасности

Команда разработчиков Zend Framework была уведомлена о XSS уязвимости (attack vector) в классе Zend_Filter_StripTags. Zend_Filter_StripTags предоставляет возможность вырезать HTML теги из текста, при этом можно указать какие теги и их атрибуты должны быть сохранены.

Уязвимость возникла из-за ошибки при выделении HTML тегов, которые необходимо сохранить. Если пробелы были добавлены вокруг оператора присваивания атрибута, или значение содержало символы новой строки, то атрибут всегда попадал в финальный вывод, даже если не был отмечен допустимым.

Исправление ошибки было выпущено вместе с релизом Zend Framework 1.7.7. Дополнительно исправление было добавлено в ветки 1.6, 1.5, и 1.0

Команда Zend Framework настоятельно рекомендует обновить ваш Zend Framework до версии 1.7.7. Если на данный момент вы не можете обновиться, рекомендуется  сделать экспорт из ветки, в соответствии с версией вашего релиза. Либо же просто скачать файл по ссылке и добавить его в ваш Zend Framework вместо старого, содержащего уязвимость.

P.S. Я также настоятельно рекомендую обновиться до версии 1.7 или хотя бы обновить класс Zend_Filter_StripTags. zendframework.ru уже обновился.

Скачать релиз 1.7.7 можно здесь.

Оригинал новости:

Zend Framework team was recently notified of an XSS attack vector in its Zend_Filter_StripTags class. Zend_Filter_StripTags offers the ability to strip HTML tags from text, but also to selectively choose which tags and specific attributes of those tags to keep.

The XSS attack vector was due to a bug in matching HTML tag attributes to retain. If whitespace was introduced surrounding the attribute assignment operator or the value included newline characters, the attribute would always be included in the final output- even if it was not marked to retain.

A security fix has been created and released with Zend Framework 1.7.7. Additionally, the fix has been back-ported to the 1.6, 1.5, and 1.0 release branches.

The Zend Framework team strongly recommends upgrading to version 1.7.7. If you cannot upgrade at this time, we recommend exporting from the release branch matching the minor release you are currently using, or downloading the file listed below and pushing it into your Zend Framework installation.

Лучший способ следить за обновлениями сайта это подписаться на RSS
Если информация была полезной для вас, вы можете поддержать сайт.
Комментарии:
тимур 12.04.2009 05:55 #
Спасибо, учел. Пришлось три рабочих проекта обновлять.
Ответить
Комментарии временно отключены, вы можете воспользоваться форумом.