// der php hacker

// archiv

XSS-Sicherheitslücke im Zend Framework

Geschrieben am 21. Mrz 2009 von Cem Derin

In Versionen vor 1.7.7 des Zend Frameworks befindet sich ein Fehler in der Zend_Filter_StripTags Klasse. Die Klasse ist dafür zuständig anhand einer Whitelist HTML-Tags aus Zeichenketten zu entfernen. Es war aber möglich durch zusätzlichen Whitespace HTML-Code durch die Klasse zu schleusen, der vom Browser ausgeführt wird.

Der Fehler wurde in der Version 1.7.7 behoben, daher wird dringend empfohlen, auf die Version 1.7.7 zu aktualisieren. Ist dies nicht möglich, wurde der Fix auch auf die Versionen 1.6, 1.5 und 1.0 zurückportiert - hier sollte ein entsprechendes Update aus diesen Zweigen stattfinden.

Weiter Informationen:

[via: Tobis Blog]

Geschrieben in Security Kommentieren

// kommentieren

// senden
theme von mir, software von wordpress, grid von 960 grid system. funktioniert in allen browsern, aber der safari bekommt das mit der schrift am schönsten hin.