Debians sikkerhedsbulletin

DSA-043-1 zope -- fjern-angreb

Rapporteret den:
9. mar 2001
Berørte pakker:
zope
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 2458.
I Mitres CVE-ordbog: CVE-2001-0568, CVE-2001-0569.
Yderligere oplysninger:
Den følgende bulletin dækker flere sårbarheder i Zope, som er blevet rettet.
Hotfix 08_09_2000 "Zope security alert and hotfix product"
Problemet involverer det faktum at getRoles-metoden hørende til brugerobjekter, indeholdt i standard-UserFolder-implementeringen returnerer en Python-type som er "mutable". Fordi mutable-objekter stadig er forbundet med det blivende User-objekt kan bruger med mulighed for at rette DTML give sig selv ekstra roller mens en forespørgsel udføres, ved at mutere rollelisten som en del af behandlingen af forespørgslen.
Hotfix 2000-10-02 "ZPublisher security update"
Via en URL er det nogle gange muligt at tilgå objekter, som er beskyttet af en rolle som en bruger har i visse sammenhænge, men ikke i forbindelse med det objekt der tilgås.
Hotfix 2000-10-11 "ObjectManager subscripting"
Dette problem involverer det faktum at 'subscript notation' der kan anvendes til at tilgå ObjectManagers-elementer (Folders) ikke begrænsede det returværdierne korrekt til kun de egentlige del-elementer. Dette gjorde det muligt at tilgå navne der skulle være private fra DTML (objekter med navne begyndende med understregningstegnet '_'). Dette kunne give DTML-forfattere mulighed for at se private implementationsdatastrukturer og i specielle tilfælde muligvis kalde metoder, som de ikke skulle have adgang til fra DTML.
Hotfix 2001-02-23 "Class attribute access"
Dette problem er relateret til ZClasses på den måde, at en bruger med mulighed for at udføre scripts via WWW på et Zope-websted kan se og tildele klasse-attributter til ZClasses, og måske muliggøre malplacerede ændringer til instanser af ZClass.
En anden del retter problemer i ObjectManager-, PropertyManager- og PropertySheet-klasserne i forbindelse med "mutability" af metoders returværdier, der kunne opfattes som sikkerhedsproblemer.
Disse rettelser er indeholdt i zope 2.1.6-7-pakken i Debian 2.2 (potato). Vi anbefaler at du omgående opgraderer din zope-pakke.
Rettet i:

Debian 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb