framework.zend.com
Stable релиз 2.0 / 1.12

Zend Framework 1.7.5 release. Исправление потенциальной уязвимости.

Команда Zend Framework выпустила мини релиз 1.7.5, помимо всего прочего, закрывающий потенциальную уязвимость, типа "Local File Inclusion" в компоненте Zend_View.

Суть уязвимости состоит в следующем - в метод render() можно передать путь следующего вида "../../../../etc/passwd". В таком случае секретное содержимое может стать доступно злоумышленнику. Есстественно, это произойдет если вы допускаете передачу нефильтруемых пользовательских параметров в метод render()

 // Where $_GET['foobar'] = '../../../../etc/passwd'
echo $view->render($_GET['foobar']); // LFI inclusion

Итак чтобы избежать подобной ситуации был введен новый параметр setLfiProtection запрещающий использование путей, содержащих переходы ('../' или '..\'). По умолчанию его значение равно true.

Изменить значение можно используя следующий код:

// At instantiation:
$view = new Zend_View(array(
'lfiProtectionOn' => false,
));

// Programmatically, at any time:
$view->setLfiProtection(false);

Прочитать о уязвимости можно по ссылкам:

http://weierophinney.net/matthew/archives/206-Zend-Framework-1.7.5-Released-Important-Note-Regarding-Zend_View.html#extended

http://framework.zend.com/manual/en/zend.view.migration.html

Скачать последний релиз по ссылке.

P.S. Команда Zend планирует наладить выпуск штатных мини релизов каждые две недели.

метки: Zend_View
Лучший способ следить за обновлениями сайта это подписаться на RSS
Если информация была полезной для вас, вы можете поддержать сайт.
Комментарии:
Zh0rzh 18.02.2009 08:47 #
Вообще не совсем понятно, что зачем они это сделали.

По таким же причинам и в самом php нужно учитывать, что неродивый программист может сделать include($_GET['foobar']);
Ответить
atukai 18.02.2009 10:02 #
Согласен. По-моему это не проблема ZF
Ответить
lcf 18.02.2009 10:14 #
Наверно подчеркивают таким образом насколько безопасен зф)
Ответить
Александр Махомет 18.02.2009 14:06 #
Тоже так думаю. Метью написал, что этот фикс дался им только после тяжелых обсуждений... Решили добавить защиту от дурака.
Ответить
Андрей 04.04.2009 19:09 #
Так или иначе, есть способ как это отключить. Только узнал что можно отключить, до этого просто не обновлял ZF в проктах.
Ответить
Комментарии временно отключены, вы можете воспользоваться форумом.