Fedora 22：php-ZendFramework-1.12.13-1.fc22 (2015-8704)

medium Nessus 插件 ID 83932

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

**Zend Framework 1.12.13**

- 567：创建标头时，将 int 与 float 转换为字符串

**Zend Framework 1.12.12**

- 493：尚未安装 PHPUnit

- 511：向 Zend_Controller_Request_HttpTestCase 中的允许方法列表添加修补程序

- 513：节省克隆 PHPUnit 的时间和空间

- 515：!IE 条件注释缺陷

- 516：Zend_Locale 不遵从 parentLocale 配置

- 518：同时在 PHP 7 版本中运行 travis 版本

- 534：单元测试失败：Zend_Validate_EmailAddressTest::testIdnHostnameInEmail lAddress

- 536：Zend_Measure_Number 将部分十进制数转换为带有空格字符的罗马数字

- 537：扩展视图渲染控制器补丁 (#440)

- 540：修复 Zend_XmlRpc/Amf_Server 中的 PHP 7 BC 中断

- 541：已修复 PHP7 中的测试错误

- 542：正确重置路由处理中的子路径

- 545：已修复链路由剥离路径分隔符漏洞并可能影响后续路由

- 546：TravisCI：在 PHP 5.2 中跳过 memcache(d)

- 547：在会话开始时，会话验证器抛出“general”会话异常

- 550：通告“未定义索引：browser_version”

- 557：doc：无法读取 Zend Framework 依存关系表

- 559：修复 Zend_Validate 向 SK 发送消息中的拼写错误

- 561：Zend_Date 未预期年份

- 564：实例化期间，Zend_Application 尝试加载 ZendX_Application_Resource_FrontController

**安全**

- **ZF2015-04**：Zend_Mail 与 Zend_Http 均易受到 CRLF 注入攻击矢量的影响（对于 HTTP，一般将此称为 HTTP 响应拆分）。
对两个组件均进行了更新以执行标头值验证，从而确保所有值均不含任何未在相应规范中进行详述的字符，并在检测后报告异常。同时，两个组件都提供了新的设施，用于在将标头值注入标头类前对其进行验证和过滤。如果您是 Zend_Mail 或 Zend_Http 的用户，推荐您立即升级。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。