Bulletin d'alerte Debian

zope -- Appropriation de droit non autorisée (mise à jour)

Date du rapport :
21 août 2000
Paquets concernés :
zope
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2000-0725.
Plus de précisions :
Les versions de Zope antérieures à la 2.2.1 permettent à un utilisateur disposant d'un éditeur DTML d'obtenir un accès non autorisé aux règles durant l'exécution d'une requête. Une rustine avait précédemment était annoncée sur le paquet Debian GNU/Linux Zope 2.1.6-5.1 mais ce paquet ne réglait pas tous les problèmes. Il a donc été remplacé par cette annonce. Plus d'information sur http://www.zope.org/Products/Zope/Hotfix_2000-08-17/security_alert.

Debian GNU/Linux 2.1 (Slink) n'incluait pas Zope et n'était pas par conséquent vulnérable. Debian GNU/Linux 2.2 (Potato) inclut Zope et est vulnérable à ce problème. Un paquet corrigé est disponible pour Debian GNU/Linux 2.2 (Potato) sous la version de Zope 2.1.6-5.2.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/potato/updates/main/source/zope_2.1.6-5.2.diff.gz
http://security.debian.org/dists/potato/updates/main/source/zope_2.1.6-5.2.dsc
http://security.debian.org/dists/potato/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/zope_2.1.6-5.2_alpha.deb
arm:
http://security.debian.org/dists/potato/updates/main/binary-arm/zope_2.1.6-5.2_arm.deb
i386:
http://security.debian.org/dists/potato/updates/main/binary-i386/zope_2.1.6-5.2_i386.deb
m68k:
http://security.debian.org/dists/potato/updates/main/binary-m68k/zope_2.1.6-5.2_m68k.deb
powerpc:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/zope_2.1.6-5.2_powerpc.deb
sparc:
http://security.debian.org/dists/potato/updates/main/binary-sparc/zope_2.1.6-5.2_sparc.deb