Une faille LFI (Local File Inclusion) a été détectée dans Zend_View. En réalité, elle est la cause d'une variable externe non échappée, mais la sécurité étant en jeu, il a été décidé de corriger cette faille dans ZendFramework 1.7.5.
Cette faille est exploitable avec le code suivant :
<?php
$view->setBasePath('/var/www/application/views');
$view->render($_GET['path']);
Une variable path telle que "../../../../etc/passwd" peut mettre en danger le système.
La correction consiste à chercher "../" ou "..\" dans le paramètre de render(), et rendre une exception si detecté.
Ainsi, des utilisateurs peuvent connaitre des BCB (cassures de compatibilité).
De ce fait, un paramètre "lfiProtectionOn" est à true par défaut dans Zend_View, et effectue cette vérification.
Le passer à false rend l'application compatible, mais supprime la vérification de sécurité.
Notez qu'en théorie : toute variable est censée être filtrée, il n'y a donc pas de problème normalement.
Vous devez être identifié pour poster un commentaire.
Developpement web PHP
| Lun | Mar | Mer | Jeu | Ven | Sam | Dim |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 |
Copyright © 2000-2012 - www.developpez.com


, julien pauli 



















![Validate my RSS feed [Valid RSS]](/img/valid-rss.png)
![Validate my Atom 1.0 feed [Valid Atom 1.0]](/img/valid-atom.png)