Рекомендация Debian по безопасности

DSA-2234-1 zodb -- несколько уязвимостей

Дата сообщения:
10.05.2011
Затронутые пакеты:
zodb
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 540465.
В каталоге Mitre CVE: CVE-2009-0668, CVE-2009-0669.
Более подробная информация:

В python-zodb, наборе инструментов для использования ZODB, было обнаружено несколько удалённых уязвимостей, которые в самом худшем случае могут приводить к выполнению произвольного кода. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2009-0668

    ZEO-сервер не ограничивает вызываемые объекты при сериализации данных, полученных от злоумышленника, что может использоваться последним для выполнения произвольного кода на языке Python на сервере путём отправки определённых исключений. Также это позволяет злоумышленнику импортировать любой модуль, поскольку ZEO импортирует модуль, содержащий вызываемый объект, указанный в сериализации для проверки определённого флага.

  • CVE-2009-0669

    Из-за ошибки программирования авторизованный метод в компоненте StorageServer из ZEO не используется в качестве внутреннего метода. Это позволяет злоумышленнику обходить аутентификацию при подключении к ZEO-серверу, просто вызвав указанный метод авторизации.

Кроме того, данное обновление ограничивает число новых идентификаторов объектов, которые может запросить клиент, 100 идентификаторами, поскольку в противном случае можно вызвать потребление чрезмерного количества ресурсов путём запроса большого набора новых идентификаторов объектов. Этой уязвимости идентификатор CVE назначен не был.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1:3.6.0-2+lenny3.

Стабильный выпуск (squeeze) не подвержен указанным проблемам, они были исправлены до первого выпуска.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:3.8.2-1.

Рекомендуется обновить пакеты zodb.