Zend Framework sérülékenység

CH azonosító

CH-7095

Angol cím

Zend Framework "Zend_XmlRpc" XML Entity References Information Disclosure Vulnerability

Felfedezés dátuma

2012.06.25.

Súlyosság

Alacsony

Érintett rendszerek

Zend Framework
Zend Technologies

Érintett verziók

Zend Framework 1.x

Összefoglaló

A Zend Framework egy sérülékenységét jelentették, amelyet kihasználva a támadók bizalmas információkat szerezhetnek, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. A sérülékenység oka egy a “Zend_XmlRpc” osztály XML adatok feldolgozásakor fellépő hibája, amely kihasználható bizonyos helyi fájlok tartalmának kiszivárogtatására speciálisan megszerkesztett XML fájlokon keresztül, amikben külső hivatkozások vannak (external entity references).
  2. A “Zend_XmlRpc”, “Zend_Dom”, “Zend_Feed” és “Zend_Soap” osztályok XML entitás hivatkozásokat tartalmazó XML DOCTYPE deklarációk feldolgozása közben keletkező hibáját kihasználva a rendelkezésre álló memória és processzor erőforrások teljes leterhelését lehet előidézni speciálisan összeállított, külső hivatkozásokat tartalmazó XML adatok segítségével.

A sérülékenységet az 1.11.12 és 1.12.0 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra