Säkerhetsbulletin från Debian

DSA-043-1 zope -- fjärråtkomst

Rapporterat den:
2001-03-09
Berörda paket:
zope
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 2458.
I Mitres CVE-förteckning: CVE-2001-0568, CVE-2001-0569.
Ytterligare information:
Denna bulletin täcker flera sårbarheter i Zope vilka har rättats.
Hotfix 08_09_2000 "Zope security alert and hotfix product"
Detta problem inbegriper det faktum att GetRoles-metoden för användarobjekt i den förvalda UserFolder-implementationen returnerar en Pythontyp som är "mutable". På grund av att detta objekt fortfarande är associerat med det persistenta User-objektet, kan användare med rätt att redigera DTML-filer ge sig själv ytterligare roller under ett anrop genom att mutera rolllistan som en del av hanteringen av anropet.
Hotfix 2000-10-02 "ZPublisher security update"
Det är ibland möjligt att nå objekt skyddade av en roll som en användare har i någon kontext (enbart via URL), men inte i kontexten för det objekt som hämtas.
Hotfix 2000-10-11 "ObjectManager subscripting"
Problemet inbegriper det faktum att den subskript-notation som kan användas för att nå åtkomstposter i ObjectManagers (mappar) inte korrekt begränsar värden till bara själva underposterna. Detta gjorde det möjligt att nå namn som skulle vara privata från DTML (objekt med namn som börjar med understreck, "_"). Detta kunde göra så att DTML-författare kunde se privata implementationsdatastrukturer och ibland anropa metoder de inte borde nå från DTML.
Hotfix 2001-02-23 "Class attribute access"
Problemet är relaterat till ZClasses i det att en användare med "genom-webben"-skriptmöjligheter på en Zopewebbplats kan visa och tilldela klassattribut till ZClasses, och möjligen låta dem göra olämpliga ändringar till en ZClass-instanser.
En andra del rättar problem i ObjectManager-, PropertyManager- och PropertySheet-klasserna relaterat till "mutability"-egenskapen av returvärden från metoder, vilket kunde ses som ett säkerhetsproblem.
Dessa rättelser inkluderas i zope 2.1.6-7 i Debian 2.2 (potato). Vi rekommenderar att du uppgraderar ditt zopepaket omedelbart.
Rättat i:

Debian 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb