Aviso de seguridad de Debian

DSA-043-1 zope -- explotación remota

Fecha del informe:
9 de mar de 2001
Paquetes afectados:
zope
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2458.
En el diccionario CVE de Mitre: CVE-2001-0568, CVE-2001-0569.
Información adicional:
Este aviso cubre varias vulnerabilidades de Zope que han sido remitidas.
Hotfix 08_09_2000 "Alarma de seguridad de Zope y producto hotfix"
El asunto implica el hecho de que el método getRoles de objetos de usuario contenida en la implementación predeterminada UserFolder devuelve un tipo de Python mutable. Ya que el objeto mutable está aún asociado con el objeto persistente User, los usuarios con la capacidad de editar DTML podrían ordenarse para darse a sí mismos roles extra para la duración de una petición simple mutando la lista de roles como parte del proceso de petición.
Hotfix 2000-10-02 "Actualización de seguridad de ZPublisher"
Es posible algunas veces acceder, a través de una sóla URL, a objetos protegidos por un rol que tiene el usuario in algún contexto, pero no en el contexto de los objetos accedidos.
Hotfix 2000-10-11 "Subscripting de ObjectManager"
El asunto implica el hecho de que la 'notación subscript' puede ser utilizada para acceder a elementos de ObjectManagers (Folders - carpetas) no restringían correctamente los valores de retorno para subelementos actuales. Esto hizo posible acceder a los nombres que deberían ser privados desde DTML (objetos con nombres que empiezan con el carácter de subrayado '_'). Esto podía permitir a los autores de DTML ver la implementación privada de estructuras de datos y en ciertos casos posiblemente llamar a métodos a los que ellos no deberían tener acceso desde DTML.
Hotfix 2001-02-23 "Acceso a atributos de clase"
El asunto está relacionado con ZClasses en las que un usuario con capacidad de scripts através de la web en un sitio Zope puede ver y asignar atributos de clase a ZClasses, posiblemente permitiéndoles hacer cambios inapropiados a instancias de ZClass.
Una segunda parte arregla los problemas de las clases ObjectManager, PropertyManager y PropertySheet relativas a la mutabilidad del método devuelven valores que pueden ser percibidos como un problema de seguridad.
Estas reparaciones están incluidas en zope 2.1.6-7 para Debian 2.2 (potato). Le recomendamos que actualice su paquete zope inmediatamente.
Arreglado en:

Debian 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb