RSS подписка Twitter
Релизы
Последние комментарии:
dnka → Построение приложения на базе Zend Framework. Часть 1. Zend_Controller, Zend_Db, Zend_Layout
ya → Валидация с помощью Zend_Validate, примеры использования
tazododu → Построение приложения на базе Zend Framework. Часть 1. Zend_Controller, Zend_Db, Zend_Layout
tazododu → Построение приложения на базе Zend Framework. Часть 1. Zend_Controller, Zend_Db, Zend_Layout
puchuu → Начинаем работу с Zend Framework
Официальный сайт:
framework.zend.com
Stable релиз: 1.10
Облако тегов:
ACL action helpers декораторы Zend_Form Doctrine ErrorHandler FireBug FlashMessenger Flex MageConf Magento модель вид контроллер model view controller mvc Myak CMS php framework phpconf PHPUnit Плагины Производительность rss тестирование tutorial Twitter Unit тестирование view helpers XSS ZendX_JQuery Zend_Acl Zend_AMF Zend_Application Zend_Captcha Zend_Config Zend_Controller Zend_Controller_Router_Rewrite zend_date Zend_Db Zend_Db_Select Zend_Db_Table Zend_Dojo Zend_Exception zend_feed Zend_Filter Zend_Form Zend_Form_Element Zend_Form_Element_Captcha Zend_Form_Element_File Zend_Layout Zend_Loader Zend_Log Zend_Navigation Zend_Registry Zend_Test Zend_Test_PHPUnit Zend_Tool Zend_Translate Zend_Validate Zend_View Zend_View_Helper_Url Zend_Wildfire zfconf ZFDebug ZFСonf
ГлавнаяРелизы Zend Framework

Zend Framework 1.7.5 release. Исправление потенциальной уязвимости.

Опубликовано: 17.02.2009
Автор: Александр Махомет

Команда Zend Framework выпустила мини релиз 1.7.5, помимо всего прочего, закрывающий потенциальную уязвимость, типа "Local File Inclusion" в компоненте Zend_View.

Суть уязвимости состоит в следующем - в метод render() можно передать путь следующего вида "../../../../etc/passwd". В таком случае секретное содержимое может стать доступно злоумышленнику. Есстественно, это произойдет если вы допускаете передачу нефильтруемых пользовательских параметров в метод render()

 // Where $_GET['foobar'] = '../../../../etc/passwd'
 echo $view->render($_GET['foobar']); // LFI inclusion

Итак чтобы избежать подобной ситуации был введен новый параметр setLfiProtection запрещающий использование путей, содержащих переходы ('../' или '..\'). По умолчанию его значение равно true.

Изменить значение можно используя следующий код:

// At instantiation:
$view = new Zend_View(array(
    'lfiProtectionOn' => false,
));

// Programmatically, at any time:
$view->setLfiProtection(false);

Прочитать о уязвимости можно по ссылкам:

http://weierophinney.net/matthew/archives/206-Zend-Framework-1.7.5-Released-Important-Note-Regarding-Zend_View.html#extended

http://framework.zend.com/manual/en/zend.view.migration.html

Скачать последний релиз по ссылке.

P.S. Команда Zend планирует наладить выпуск штатных мини релизов каждые две недели.

метки: Zend_View
Лучший способ следить за обновлениями сайта это подписаться на RSS
Если информация была полезной для вас, вы можете поддержать сайт.
Комментарии:
Zh0rzh 18.02.2009 08:47 #
Вообще не совсем понятно, что зачем они это сделали.

По таким же причинам и в самом php нужно учитывать, что неродивый программист может сделать include($_GET['foobar']);
Ответить
atukai 18.02.2009 10:02 #
Согласен. По-моему это не проблема ZF
Ответить
lcf 18.02.2009 10:14 #
Наверно подчеркивают таким образом насколько безопасен зф)
Ответить
Александр Махомет 18.02.2009 14:06 #
Тоже так думаю. Метью написал, что этот фикс дался им только после тяжелых обсуждений... Решили добавить защиту от дурака.
Ответить
Андрей 04.04.2009 19:09 #
Так или иначе, есть способ как это отключить. Только узнал что можно отключить, до этого просто не обновлял ZF в проктах.
Ответить

Используйте BB-код для оформления: [b]жирный[/b], [i]наклонный[/i], [u]подчеркнутый[/u].
Ссылки подсвечиваются автоматически.
Спам запрещен! Ссылки закрыты от индексации!