CH azonosító
CH-7095Angol cím
Zend Framework "Zend_XmlRpc" XML Entity References Information Disclosure VulnerabilityFelfedezés dátuma
2012.06.25.Súlyosság
AlacsonyÖsszefoglaló
A Zend Framework egy sérülékenységét jelentették, amelyet kihasználva a támadók bizalmas információkat szerezhetnek, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- A sérülékenység oka egy a “Zend_XmlRpc” osztály XML adatok feldolgozásakor fellépő hibája, amely kihasználható bizonyos helyi fájlok tartalmának kiszivárogtatására speciálisan megszerkesztett XML fájlokon keresztül, amikben külső hivatkozások vannak (external entity references).
- A “Zend_XmlRpc”, “Zend_Dom”, “Zend_Feed” és “Zend_Soap” osztályok XML entitás hivatkozásokat tartalmazó XML DOCTYPE deklarációk feldolgozása közben keletkező hibáját kihasználva a rendelkezésre álló memória és processzor erőforrások teljes leterhelését lehet előidézni speciálisan összeállított, külső hivatkozásokat tartalmazó XML adatok segítségével.
A sérülékenységet az 1.11.12 és 1.12.0 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: framework.zend.com
Gyártói referencia: framework.zend.com
Egyéb referencia: www.sec-consult.com
CVE-2012-3363 - NVD CVE-2012-3363
CVE-2012-6531 - NVD CVE-2012-6531
CVE-2012-6532 - NVD CVE-2012-6532
SECUNIA 49665