Kritische Sicherheitslücke - Piwik - Zend Framework


(Andreas Schnederle-Wagner) #1

Hallo,

es scheint als ob PIWIK (durch das Zend Framework bedingt) eine Kritische Sicherheitslücke aufweist. Gibt es schon informationen wann diese gefixed wird?

Hier der Text der Warnmeldung:


CERT.at ersucht um Beachtung der folgenden Meldung.
   Wie SEC Consult bekanntgegeben[1] hat, wurde eine Sicherheitslücke im
   weit verbreiteten PHP-Framework ZEND[2] festgestellt.

Beschreibung

   Durch eine Lücke[3] im XML-RPC Paket ist das ZEND-Framework anfällig
   auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft
   sowohl Clients als auch Server. Durch unsicheres Parsen mittels
   SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC
   (Extensible Markup Language - Remote Procedure Call) hinzugefügt
   werden.

Auswirkungen

   Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere
   bei Servern, die das ZEND Framework verwenden) beliebige Dateien des
   Betriebssystems auslesen oder TCP-Verbindungen öffnen.

Betroffene Systeme

     * ZEND Framework 1.11.11
     * ZEND Framework 1.12.0 RC1
     * ZEND Framework 2.0.0beta4

   Weiters sind auch zahlreiche Webanwendungen, welche auf das ZEND
   Framework aufbauen potentiell gefährdet. Einige der bekanntesten
   Anwendungen sind:
     * Piwik [4] (Web Analyse)
     * Magento [5] (E-Commerce Plattform)
     * shopware [6] (E-Commerce Plattform)

Abhilfe

   Der Hersteller des Frameworks hat bereits Patches[7] bereitgestellt,
   welche sich dieses Problems annehmen

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

References

   1.
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt
   2. http://framework.zend.com/
   3. http://framework.zend.com/security/advisory/ZF2012-01
   4. http://piwik.org/
   5. http://www.magentocommerce.com/
   6. http://www.shopware.de/
   7. http://framework.zend.com/download/latest
   8.
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt

lg aus Tirol
Andreas Schnederle-Wagner


(vipsoft) #2

No current or past versions of Piwik are affected.

http://piwik.org/blog/2012/06/piwik-response-to-zf2012-01-security-advisory/


(Andreas Schnederle-Wagner) #3

Hi,

na dann ist ja gut! :slight_smile:
War etwas verunsichert da der CERT PIWIK explizit erwähnt hat.

lg
Andreas