Feed'组件信息泄露漏洞

发布日期:2012-12-19
更新日期:2012-12-20

受影响系统:
Zend Zend Framework 1.11.6
Zend Zend Framework 1.11.4
Zend Zend Framework 1.11.3
Zend Zend Framework 1.10.9
Zend Zend Framework 1.10.4
Zend Zend Framework 1.10.3
Zend Zend Framework 1.10.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 56982

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。

Zend Framework 1.11.15、1.12.1之前版本的Zend_Feed_Rss、Zend_Feed_Atom类由于使用了不安全的PHP DOM扩展,其"Zend_Feed"组件在处理xml数据时存在漏洞,通过发送包含有外部实体引用的特制XML数据,攻击者可利用此漏洞打开任意文件,最终导致了本地文件信息泄露漏洞。

<*来源:Yury Dyachenko
 
  链接:
       
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Zend
----
Zend已经为此发布了一个安全公告(ZF2012-05)以及相应补丁:

ZF2012-05:ZF2012-05: Potential XML eXternal Entity injection vectors in Zend Framework 1 Zend_Feed component

链接:

linux

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wygfpp.html