Zend Framework: Security-Fix bricht Rückwärtskompatibilität

SicherheitSicherheitsmanagement

Zend hat seinem Framework ein Update spendiert, mit dem man auch eine Schwachstelle abdichtet. Das hat allerdings Nebenwirkungen.

Das Zend Framework steht ab sofort in Version 1.7.5 bereit. Darin hat man kleinere Verbesserungen und ein paar Bugfixes vorgenommen – und einen Security-Fix integriert. Dies sei eine ziemlich schwere Entscheidung gewesen, schreibt Zend-Entwickler Matthew Weier O’Phinney im Firmen-Weblog, denn der Fix sorgt dafür, dass das Framwork nicht mehr rückwärtskompatibel ist. Normalerweise lege man größten Wert auf Rückwärtskompatibilität, andererseits habe man natürlich auch die Verantwortung für die Sicherheit, so O’Phinney.

Das Sicherheitsproblem liegt in der Methode setScriptPath() von Zend_View, wo es zu einer Local File Inclusion (LFI) kommen kann, sprich: Dateien auf dem Websever eingeschleust werden können. Voraussetzung sei zwar, dass Benutzereingaben verwendet werden, um Skriptpfade zu spezifizieren – was, wie O’Phinney anmerkt, kein Entwickler machen sollte, der noch bei Verstand ist. Dennoch handele es sich um einen sehr realen Angriffsvektor, um dem man sich kümmern musste. (Daniel Dubsky)