Zend bringt Sicherheitsupdate für drei Versionen heraus
Nächste Version 1.10 für Ende Januar 2010 angekündigt
Drei Versionen des Zend-Frameworks haben die Entwickler mit Patches für kritische Sicherheitslücken versehen. Die Entwickler raten zu einem Update auf die Versionsnummern 1.9.7, 1.8.5 und 1.7.9.
Im Zuge der neuen Sicherheitsrichtlinien haben die Entwickler gleich drei geflickte Varianten des Zend-Frameworks zum Download bereitgestellt. Bei den Sicherheitslücken handelt es sich um vier mögliche XSS-Vektorangriffsmöglichkeiten auf Zend_Service_ReCaptcha_MailHide, Zend_Filter_StripTags, Zend_Dojo_View_Helper und über die Funktionen htmlspecialchars() und htmlentities() unter anderem in den Klassen Zend_Form, Zend_Log and Zend_View.
Zusätzlich wurde in Zend_Json eine Lücke, über die XSS- oder HTML-Injection-Vektorangriffe möglich waren, geschlossen, während ein anderer Patch künftig einen MIME-Typ-Injection-Angriff auf Zend_File_Transfer verhindert.
Außerdem kündigt Zend an, die Version 1.9.7 sei die letzte aus der Serie mit der Versionsnummer 1.9.x. Nachdem eine Alphaversion der neuen Reihe 1.10.x bereits Mitte Dezember 2009 erschienen war, soll diese Woche noch eine Betaversion erscheinen. Eine finale Version ist für Ende Januar 2010 angekündigt.
In den neuen Sicherheitsrichtlinien verpflichtet sich Zend, künftig Sicherheitslücken sofort nach Bekanntwerden zu reparieren, und zwar sowohl im gegenwärtigen als auch in den zwei vorherigen kleineren Release-Zweigen. Zusätzlich werden unmittelbar danach Updates der Versionen veröffentlicht. Die aktuellen Updates sind unter framework.zend.com verfügbar.
Informationen zu Sicherheitslücken und möglichen Gegenmitteln werden in Form von Security Advisories unter framework.zend.com/security/advisories und als Feed veröffentlicht.
ja php is nur ne kostenfrage, mehr nicht. es gibt viele hostingangebote und entwickler...
Nicht? SCh**ße, du hast mein Weltbild zerstört.
Was er schrieb, ist des richtigen Wortes Form, du arroganter Sprachendepp.
Kommentieren