Debian-Sicherheitsankündigung

DSA-043-1 zope -- Entfernter Angriff

Datum des Berichts:
09. Mär 2001
Betroffene Pakete:
zope
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2458.
In Mitres CVE-Verzeichnis: CVE-2001-0568, CVE-2001-0569.
Weitere Informationen:
Diese Ankündigung behandelt mehrere Verwundbarkeiten in Zope, die angesprochen wurden.
Hotfix 08_09_2000 Zope security alert and hotfix product
Das Problem schließt die Voraussetzung ein, dass die getRoles Methode eines Benutzer-Objekts, das in der Standard UserFolder Implementierung enthalten ist, ein veränderlichen Python-Typ zurückliefert. Da das veränderbare Objekt immer noch im Zusammenhang mit dem beständigen User-Objekt steht, können Benutzer, die die Möglichkeit haben, DTML zu editieren, sich selbst für die Dauer einer einzelnen Anfrage weitere Rollen zuweisen, indem sie die Rollen-Liste als Teil der Anfragebearbeitung verändern.
Hotfix 2000-10-02 ZPublisher security update
Es ist manchmal möglich, allein durch eine URL Zugriff auf Objekte zu erlangen, die von einer Rolle geschützt sind, die der Benutzer in einigen Umgebungen hat, aber nicht im Zusammenhang mit dem Objekt, auf das zugegriffen wird.
Hotfix 2000-10-11 ObjectManager subscripting
Das Problem schließt die Voraussetzung ein, dass die subscript notation, die dazu verwendet werden kann, auf Teile von ObjectManagers (Verzeichnissen) zuzugreifen, die Werte, die sie zurückliefert, nicht ordentlich auf tatsächliche Unterteile einschränkt. Das machte es möglich, auf Namen zuzugreifen, die für DTML privat sein sollten (Objekte mit Namen, die mit dem Unterstrich-Zeichen _ beginnen). Dies könnte DTML-Autoren erlauben, privat implementierte Daten-Strukturen zu sehen, was in bestimmten Fällen das Aufrufen von Methoden ermöglicht, auf die sie keinen Zugriff von DTML haben sollten.
Hotfix 2001-02-23 Class attribute access
Das Problem hängt mit ZClasses zusammen, indem der Benutzer mit through-the-web (über-das-web) Skripting-Möglichkeiten auf einer Zope-Site Klassen-Attribute anzeigen und ZClasses zuweisen kann, was es Ihnen ermöglicht, unpassende Änderungen in den ZClass-Instanzen vorzunehmen.
Ein zweiter Teil behebt das Problem in den ObjectManager-, PropertyManager- und PropertySheet-Klassen im Zusammenhang mit der Veränderlichkeit von Methoden-Antwortwerten, was als ein Sicherheitsproblem gesehen werden könnte.
Diese Probleme wurden in zope 2.1.6-7 für Debian 2.2 (Potato) behoben. Wir empfehlen Ihnen, Ihr zope-Paket unverzüglich zu aktualisieren.
Behoben in:

Debian 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb