Das Zend Framework-Team wurde vor Kurzem über eine XSS-Angriffsmöglichkeit in der Klasse Zend_Filter_StripTags informiert. Zend_Filter_StripTags bietet die Möglichkeit, HTML-Tags aus Text zu entfernen, kann aber auch einzelne Tags und Attribute unberührt lassen.
Die XSS-Angriffsmöglichkeit rührt von einem Bug in dem Teil der Klasse her, der die HTML-Attribute erfasst, die nicht gelöscht werden sollen. Wenn um das
=-Zeichen dieser Attribute herum vom Angreifer Whitespace eingefügt wurde, oder wenn der Attributwert Zeilenumbrüche enthielt, war besagtes Attribut in jedem Fall in der Ausgabe enthalten, auch wenn es eigentlich gelöscht werden sollte.
Ein entsprechender Bugfix wurde erstellt und mit Zend Framework 1.7.7 veröffentlicht. Außerdem wurde der Fix in die 1.6- 1.5- und 1.0-Release-Zweige zurückportiert.
Das Zend Framework Team empfiehlt dringend, auf die aktuelle Version 1.7.7 zu aktualisieren. Wenn Sie zur Zeit nicht aktualisieren können, empfehlen wir, aus dem Release-Zweig, der zu Ihrem aktuell eingesetzten Minor-Release passt, die entsprechende Datei zu exportieren, oder die folgende Datei herunterzuladen und in Ihre Zend Framework-Installation einzufügen:
http://framework.zend.com/svn/framew.../StripTags.php
Dankeschön.
,Wil