Une faille LFI (Local File Inclusion) a été détectée dans Zend_View. En réalité, elle est la cause d'une variable externe non échappée, mais la sécurité étant en jeu, il a été décidé de corriger cette faille dans ZendFramework 1.7.5.
Cette faille est exploitable avec le code suivant :
<?php
$view->setBasePath('/var/www/application/views');
$view->render($_GET['path']);
Une variable path telle que "../../../../etc/passwd" peut mettre en danger le système.
La correction consiste à chercher "../" ou "..\" dans le paramètre de render(), et rendre une exception si detecté.
Ainsi, des utilisateurs peuvent connaitre des BCB (cassures de compatibilité).
De ce fait, un paramètre "lfiProtectionOn" est à true par défaut dans Zend_View, et effectue cette vérification.
Le passer à false rend l'application compatible, mais supprime la vérification de sécurité.
Notez qu'en théorie : toute variable est censée être filtrée, il n'y a donc pas de problème normalement.
Vous devez être identifié pour poster un commentaire.
Developpement web PHP
| Lun | Mar | Mer | Jeu | Ven | Sam | Dim |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |


, julien pauli 



















![Validate my RSS feed [Valid RSS]](/img/valid-rss.png)
![Validate my Atom 1.0 feed [Valid Atom 1.0]](/img/valid-atom.png)