[Sec-cert] [Fedora] Mehrere Schwachstellen im php-ZendFramework - FEDORA-2010-0652 / FEDORA-2010-0601

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Mo Jan 18 16:03:23 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

MIME Type Injection in Zend_File_Transfer

  Unter bestimmten Umstaenden uebernimmt die Klasse Zend_File_Transfer den
  MIME Typ einer Datei aus den Angaben des heraufladenen Benutzers,
  anstatt den Typ selbst zu bestimmen. Dies kann z.B. der Fall sein,
  wenn die PHP ext/finfo Extension oder die Funktion mime_content_type()
  nicht zur Verfuegung stehen oder den Typ der Datei nicht bestimmen
  koennen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen,
  um Beschraenkungen bzgl. ausfuehrbarer Dateien zu umgehen und beliebigen
  Code mit den Rechten der Webanwendung auszufuehren.

Cross-site Scripting Schwachstelle in Zend_Json

  Die Klasse Zend_Json bezog den Schraegstrich ("/") nicht in ihre
  Filterung ein, so dass ein entfernter Angreifer Scriptcode in einen
  JSON String einschleusen kann, welcher im Browser anderer Benutzer
  ausgefuehrt wird (Cross-site Scripting).

Cross-site Scripting Schwachstelle in php-Zend durch inkonsistente
Zeichenkodierungen

  Die Verwendung der PHP Funktionen htmlspecialchars() und
  htmlentities() erfolgt in den Klassen Zend_Form, Zend_Filter,
  Zend_Form, Zend_Log und Zend_View mit teilweise fest codierten,
  teilweise nicht angegebenen Parametern fuer den zu benutzenden
  Zeichensatz. Dies fuehrt dazu, dass in Benutzereingaben evtl.
  enthaltener  HTML- oder Scriptcode nicht ausgefiltert wird. Entfernte
  Angreifer koennen diese Schwachstelle dazu ausnutzen, beliebigen
  Scriptcode im Browser anderer Benuzter auszufuehren (Cross-site
  Scripting). 

Cross-site Scripting Schwachstelle in Zend_Service_ReCaptcha_MailHide

  Die in der Klasse Zend_Service_ReCaptcha_MailHide anzugebende E-Mail
  Adresse wird nicht korrekt auf evtl. enthaltenen HTML- oder Scriptcode
  geprueft. Ein entfernter Angreifer kann diese Schwachstelle dazu
  ausnutzen, beliebigen Scriptcode im Browser anderer Benuzter
  auszufuehren (Cross-site Scripting).

Cross-site Scripting in Zend_Filter_StripTags

  Die Klasse Zend_Filter_StripTags ermoeglicht ueber eine Option das
  Whitelisting von HTML Kommentare, d.h. diese werden nicht
  ausgefiltert. In einigen Browsern, u.a. dem Internet Explorer, lassen
  sich ueber HTML-Kommentare jedoch Funktionalitaeten aktivieren, darunter
  die Ausfuehrung von Scriptcode (im Kommentar). Ein entfernter Angreifer
  kannn diese Schwachstelle dazu ausnutzen, beliebigen Scriptcode im
  Browser anderer Benutzer auszufuehren (Cross-site Scripting).

Cross-site Scripting Schwachstelle in Zend_Dojo_View_Helper_Editor

  Die Klasse Zend_Dojo_View_Helper_Editor zeigt ihren Inhalt in einer
  HTML TEXTAREA Umgebung an, was verhindert, dass der Zend Dojo Editor
  evtl. enthaltenes JavaScript ausgefiltern kann. Entfernte Angreifer
  koennen diese Schwachstelle dazu ausnutzen, beliebigen Scriptcode im
  Browser anderer Benutzer auszufuehren (Cross-site Scripting).

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket php-ZendFramework

  Fedora 11
  Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  http://lists.fedoraproject.org/pipermail/package-announce/2010-January/033990.html
  http://lists.fedoraproject.org/pipermail/package-announce/2010-January/034021.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT

- -- 
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de,  Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805,  Ust-IdNr.:  DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

17. DFN Workshop    "Sicherheit in vernetzten Systemen"    09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-0652
2010-01-15 21:22:17
- --------------------------------------------------------------------------------

Name        : php-ZendFramework
Product     : Fedora 12
Version     : 1.9.7
Release     : 1.fc12
URL         : http://framework.zend.com/
Summary     : Leading open-source PHP framework
Description :
Extending the art & spirit of PHP, Zend Framework is based on simplicity,
object-oriented best practices, corporate friendly licensing, and a rigorously
tested agile codebase. Zend Framework is focused on building more secure,
reliable, and modern Web 2.0 applications & web services, and consuming widely
available APIs from leading vendors like Google, Amazon, Yahoo!, Flickr, as
well as API providers and catalogers like StrikeIron and ProgrammableWeb.

- --------------------------------------------------------------------------------
Update Information:

This release fixes security-related issues:  * ZF2010-06: Potential XSS or HTML
Injection vector in Zend_Json  * ZF2010-05: Potential XSS vector in
Zend_Service_ReCaptcha_MailHide  * ZF2010-04: Potential MIME-type Injection in
Zend_File_Transfer  * ZF2010-03: Potential XSS vector in Zend_Filter_StripTags
when comments allowed  * ZF2010-02: Potential XSS vector in
Zend_Dojo_View_Helper_Editor  * ZF2010-01: Potential XSS vectors due to
inconsistent encodings
- --------------------------------------------------------------------------------
ChangeLog:

* Thu Jan 14 2010 Alexander Kahl <akahl at imttechnologies.com> - 1.9.7-1
- - update to bugfix / security release 1.9.7
* Tue Dec  8 2009 Felix Kaechele <felix at fetzig.org> - 1.9.6-2
- - insert correct provides/obsoletes for tests subpackage removal
* Mon Nov 30 2009 Felix Kaechele <heffer at fedoraproject.org> - 1.9.6-1
- - update to 1.9.6
* Sun Nov 15 2009 Felix Kaechele <felix at fetzig.org> - 1.9.5-1
- - update to 1.9.5
- - removed test subpackage as it can never comply to font packaging guidelines
* Wed Sep 30 2009 Felix Kaechele <heffer at fedoraproject.org> - 1.9.3-1.PL1
- - new upstream version
- - new component: Queue
- - fixed dangling symlinks
- - enabled Db-Adapter-Firebird
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update php-ZendFramework' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLVHg7WmhIvjFb90URAmRfAKCXhvFPoYf/yYsQeKbaEoVlk0TsMgCfTUve
DnqQhnMGVD7IOQSjA4p4FwE=
=TT0E
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Sec-cert