Hallo,
es scheint als ob PIWIK (durch das Zend Framework bedingt) eine Kritische Sicherheitslücke aufweist. Gibt es schon informationen wann diese gefixed wird?
Hier der Text der Warnmeldung:
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult bekanntgegeben[1] hat, wurde eine Sicherheitslücke im
weit verbreiteten PHP-Framework ZEND[2] festgestellt.
Beschreibung
Durch eine Lücke[3] im XML-RPC Paket ist das ZEND-Framework anfällig
auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft
sowohl Clients als auch Server. Durch unsicheres Parsen mittels
SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC
(Extensible Markup Language - Remote Procedure Call) hinzugefügt
werden.
Auswirkungen
Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere
bei Servern, die das ZEND Framework verwenden) beliebige Dateien des
Betriebssystems auslesen oder TCP-Verbindungen öffnen.
Betroffene Systeme
* ZEND Framework 1.11.11
* ZEND Framework 1.12.0 RC1
* ZEND Framework 2.0.0beta4
Weiters sind auch zahlreiche Webanwendungen, welche auf das ZEND
Framework aufbauen potentiell gefährdet. Einige der bekanntesten
Anwendungen sind:
* Piwik [4] (Web Analyse)
* Magento [5] (E-Commerce Plattform)
* shopware [6] (E-Commerce Plattform)
Abhilfe
Der Hersteller des Frameworks hat bereits Patches[7] bereitgestellt,
welche sich dieses Problems annehmen
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
References
1.
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt
2. http://framework.zend.com/
3. http://framework.zend.com/security/advisory/ZF2012-01
4. http://piwik.org/
5. http://www.magentocommerce.com/
6. http://www.shopware.de/
7. http://framework.zend.com/download/latest
8.
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt
lg aus Tirol
Andreas Schnederle-Wagner