Knapp zwei Wochen ist es her, dass das Zend Framework 2 erschienen ist. Und bereits jetzt gibt es ein Update auf die Version 2.0.1.
Neben insgesamt ca. 60 Bugfixes wurde auch eine Sicherheitslücke geschlossen. Und zwar konnte durch einen Fehler beim escapen von Werten eine Hintertür für XSS (Cross Site Scripting) öffnen.
Grundsätzlich sollte zum escapen Zend/Escaper genutz werden, dies war für folgende Komponenten nicht der Fall:
Zend\Debug
Zend\Feed\PubSubHubbub
Zend\Log\Formatter\Xml
Zend\Tag\Cloud\Decorator
Zend\Uri
Zend\View\Helper\HeadStyle
Zend\View\Helper\Navigation\Sitemap
Zend\View\Helper\Placeholder\Container\AbstractStandalone
Es wird dringend empfohlen auf die neue Version upzudaten.
Das Sicherheitsupdate wurde sowohl für die Version 2.0.1 als auch für die in Entwicklerversion 2.1 veröffentlich.
Auch interessant:
- Die wichtigsten Neuerungen in PHP 8.4: Was… PHP 8.4, das am 21. November 2024 erscheint, bringt eine Reihe von bedeutenden Neuerungen und Optimierungen für Entwickler mit. Mit Verbesserungen wie den Property Hooks, erweiterten Möglichkeiten für HTML5-Verarbeitung und…
- Warum man in Blade lieber @if(! $user->isAdmin)… In Laravel Blade, der Templating-Engine des Frameworks, haben Entwickler verschiedene Möglichkeiten, Bedingungen in Templates zu implementieren. Ein häufiges Thema bei der Arbeit mit Bedingungslogik ist die Wahl zwischen den beiden…
- PHP Modul ctype: Überprüfen von Zeichenketten mit… Das PHP Modul ctype bietet dir Funktionen, die es ermöglichen, den Typ von Zeichen in einer Zeichenkette zu überprüfen. Du kannst zum Beispiel überprüfen, ob alle Zeichen in einer Zeichenkette Buchstaben, Ziffern,…
- Vom Junior zum Senior-Entwickler: Ein Wandel in der… Der Übergang vom Junior-Entwickler zum Senior-Entwickler ist nicht nur eine Frage der Erfahrung oder der technischen Fähigkeiten – es erfordert einen grundlegenden Wandel in der Denkweise. Viele Entwickler beginnen ihre…