Bulletin d'alerte Debian

DSA-043-1 zope -- Exploitation à distance

Date du rapport :
9 mars 2001
Paquets concernés :
zope
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2458.
Dans le dictionnaire CVE du Mitre : CVE-2001-0568, CVE-2001-0569.
Plus de précisions :
Cette annonce couvre plusieurs failles de sécurité dans Zope qui ont été adressées.
Correctif récent 08_09_2000 "Zope security alert and hotfix product"
Le problème implique le fait que l'implémentation de la méthode getRoles des objets utilisateurs contenu dans le répertoire de l'utilisateur UserFolder par défaut retourne un type Python mutable. Parce que l'objet mutable est toujours associé avec celui utilisateur persistant, les utilisateurs qui ont le pouvoir d'éditer le DTML pouvait s'arranger pour se donner des rôles supplémentaires pour la durée d'une seule requête en mutant la liste des rôles comme une partie de la requête ;
Correctif récent 2000-10-02 "ZPublisher security update"
Il est parfois possible d'accéder, seulement via une URL, à des objets protégés si le rôle nécessaire pour l'accès lui est donné mais pas de ce contexte ;
Correctif récent 2000-10-11 "ObjectManager subscripting"
Le problème vient de la notation de subscript qui peut être utilisée pour accéder à des objets de ObjectManagers (Répertoires). Elles ne restreint pas correctement les valeurs de retour aux seuls sous-objets. Ceci rend possible l'accès à des données privées depuis le DTML (les objets avec des noms commençant avec un caractère souligné « _ »). Ceci pouvait permettre aux auteurs de DTML de voir les structures de l'implémentation privée des données et dans certains cas un appel probable aux méthodes dont l'accès leur serait interdit depuis DTML ;
Correctif récent 2001-02-23 "Class attribute access"
Le souci est lié aux ZClasses dans lesquelles un utilisateur avec des capacités de script via le web sur un site Zope peut voir et assigner des attributs de classe aux ZClasses, permettant probablement des faire des changements inappropriés dans les instances ZClass.
Une seconde partie du correctif s'attaque aux problèmes des classes ObjectManager, PropertyManager et PropertySheet liés la mutabilité des valeurs de retour des méthodes qui pouvaient être perçus comme un problème de sécurité.
Ces corrections sont inclus dans zope 2.1.6-7 pour Debian 2.2 (Potato). Nous vous recommandons de mettre à jour votre paquet zope immédiatement.
Corrigé dans :

Debian 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb