—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
MIME Type Injection in Zend_File_Transfer
Unter bestimmten Umstaenden uebernimmt die Klasse Zend_File_Transfer den
MIME Typ einer Datei aus den Angaben des heraufladenen Benutzers,
anstatt den Typ selbst zu bestimmen. Dies kann z.B. der Fall sein,
wenn die PHP ext/finfo Extension oder die Funktion mime_content_type()
nicht zur Verfuegung stehen oder den Typ der Datei nicht bestimmen
koennen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen,
um Beschraenkungen bzgl. ausfuehrbarer Dateien zu umgehen und beliebigen
Code mit den Rechten der Webanwendung auszufuehren.
Cross-site Scripting Schwachstelle in Zend_Json
Die Klasse Zend_Json bezog den Schraegstrich (“/”) nicht in ihre
Filterung ein, so dass ein entfernter Angreifer Scriptcode in einen
JSON String einschleusen kann, welcher im Browser anderer Benutzer
ausgefuehrt wird (Cross-site Scripting).
Cross-site Scripting Schwachstelle in php-Zend durch inkonsistente
Zeichenkodierungen
Die Verwendung der PHP Funktionen htmlspecialchars() und
htmlentities() erfolgt in den Klassen Zend_Form, Zend_Filter,
Zend_Form, Zend_Log und Zend_View mit teilweise fest codierten,
teilweise nicht angegebenen Parametern fuer den zu benutzenden
Zeichensatz. Dies fuehrt dazu, dass in Benutzereingaben evtl.
enthaltener HTML- oder Scriptcode nicht ausgefiltert wird. Entfernte
Angreifer koennen diese Schwachstelle dazu ausnutzen, beliebigen
Scriptcode im Browser anderer Benuzter auszufuehren (Cross-site
Scripting).
Cross-site Scripting Schwachstelle in Zend_Service_ReCaptcha_MailHide
Die in der Klasse Zend_Service_ReCaptcha_MailHide anzugebende E-Mail
Adresse wird nicht korrekt auf evtl. enthaltenen HTML- oder Scriptcode
geprueft. Ein entfernter Angreifer kann diese Schwachstelle dazu
ausnutzen, beliebigen Scriptcode im Browser anderer Benuzter
auszufuehren (Cross-site Scripting).
Cross-site Scripting in Zend_Filter_StripTags
Die Klasse Zend_Filter_StripTags ermoeglicht ueber eine Option das
Whitelisting von HTML Kommentare, d.h. diese werden nicht
ausgefiltert. In einigen Browsern, u.a. dem Internet Explorer, lassen
sich ueber HTML-Kommentare jedoch Funktionalitaeten aktivieren, darunter
die Ausfuehrung von Scriptcode (im Kommentar). Ein entfernter Angreifer
kannn diese Schwachstelle dazu ausnutzen, beliebigen Scriptcode im
Browser anderer Benutzer auszufuehren (Cross-site Scripting).
Cross-site Scripting Schwachstelle in Zend_Dojo_View_Helper_Editor
Die Klasse Zend_Dojo_View_Helper_Editor zeigt ihren Inhalt in einer
HTML TEXTAREA Umgebung an, was verhindert, dass der Zend Dojo Editor
evtl. enthaltenes JavaScript ausgefiltern kann. Entfernte Angreifer
koennen diese Schwachstelle dazu ausnutzen, beliebigen Scriptcode im
Browser anderer Benutzer auszufuehren (Cross-site Scripting).
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket php-ZendFramework
Fedora 11
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-January/033990.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-January/034021.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
17. DFN Workshop “Sicherheit in vernetzten Systemen” 09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-0652
2010-01-15 21:22:17
– ——————————————————————————–
Name : php-ZendFramework
Product : Fedora 12
Version : 1.9.7
Release : 1.fc12
URL : http://framework.zend.com/
Summary : Leading open-source PHP framework
Description :
Extending the art & spirit of PHP, Zend Framework is based on simplicity,
object-oriented best practices, corporate friendly licensing, and a rigorously
tested agile codebase. Zend Framework is focused on building more secure,
reliable, and modern Web 2.0 applications & web services, and consuming widely
available APIs from leading vendors like Google, Amazon, Yahoo!, Flickr, as
well as API providers and catalogers like StrikeIron and ProgrammableWeb.
– ——————————————————————————–
Update Information:
This release fixes security-related issues: * ZF2010-06: Potential XSS or HTML
Injection vector in Zend_Json * ZF2010-05: Potential XSS vector in
Zend_Service_ReCaptcha_MailHide * ZF2010-04: Potential MIME-type Injection in
Zend_File_Transfer * ZF2010-03: Potential XSS vector in Zend_Filter_StripTags
when comments allowed * ZF2010-02: Potential XSS vector in
Zend_Dojo_View_Helper_Editor * ZF2010-01: Potential XSS vectors due to
inconsistent encodings
– ——————————————————————————–
ChangeLog:
* Thu Jan 14 2010 Alexander Kahl
– – update to bugfix / security release 1.9.7
* Tue Dec 8 2009 Felix Kaechele
– – insert correct provides/obsoletes for tests subpackage removal
* Mon Nov 30 2009 Felix Kaechele
– – update to 1.9.6
* Sun Nov 15 2009 Felix Kaechele
– – update to 1.9.5
– – removed test subpackage as it can never comply to font packaging guidelines
* Wed Sep 30 2009 Felix Kaechele
– – new upstream version
– – new component: Queue
– – fixed dangling symlinks
– – enabled Db-Adapter-Firebird
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update php-ZendFramework’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFLVHg7WmhIvjFb90URAmRfAKCXhvFPoYf/yYsQeKbaEoVlk0TsMgCfTUve
DnqQhnMGVD7IOQSjA4p4FwE=
=TT0E
—–END PGP SIGNATURE—–
