Bulletin d'alerte Debian
DSA-043-1 zope -- Exploitation à distance
- Date du rapport :
- 9 mars 2001
- Paquets concernés :
-
zope
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2458.
Dans le dictionnaire CVE du Mitre : CVE-2001-0568, CVE-2001-0569.
- Plus de précisions :
- Cette annonce couvre plusieurs failles de sécurité dans
Zope qui ont été adressées.
- Correctif récent 08_09_2000 "Zope security alert and hotfix
product"
-
Le problème implique le fait que l'implémentation de la méthode
getRoles
des objets utilisateurs contenu dans
le répertoire de l'utilisateur UserFolder par défaut retourne
un type Python mutable. Parce que l'objet mutable est toujours associé avec
celui utilisateur persistant, les utilisateurs qui ont le pouvoir d'éditer
le DTML pouvait s'arranger pour se donner des rôles supplémentaires pour
la durée d'une seule requête en mutant la liste des rôles comme une partie
de la requête ;
- Correctif récent 2000-10-02 "ZPublisher security update"
-
Il est parfois possible d'accéder, seulement via une URL, à des objets
protégés si le rôle nécessaire pour l'accès lui est donné mais pas de ce
contexte ;
- Correctif récent 2000-10-11 "ObjectManager subscripting"
-
Le problème vient de la notation de subscript qui peut
être utilisée pour accéder à des objets de ObjectManagers (Répertoires).
Elles ne restreint pas correctement les valeurs de retour aux seuls
sous-objets. Ceci rend possible l'accès à des données privées depuis le
DTML (les objets avec des noms commençant avec un caractère souligné
« _ »). Ceci pouvait permettre aux auteurs de DTML de voir
les structures de l'implémentation privée des données et dans certains
cas un appel probable aux méthodes dont l'accès leur serait interdit
depuis DTML ;
- Correctif récent 2001-02-23 "Class attribute access"
-
Le souci est lié aux ZClasses dans lesquelles un utilisateur avec
des capacités de script via le web sur un site Zope peut voir et assigner
des attributs de classe aux ZClasses, permettant probablement des faire
des changements inappropriés dans les instances ZClass.
Une seconde partie du correctif s'attaque aux problèmes des classes
ObjectManager, PropertyManager et PropertySheet liés la mutabilité des
valeurs de retour des méthodes qui pouvaient être perçus comme un
problème de sécurité.
Ces corrections sont inclus dans zope 2.1.6-7 pour Debian 2.2
(Potato). Nous vous recommandons de mettre à jour votre paquet zope
immédiatement.
- Corrigé dans :
-
Debian 2.2 (potato)
- Source :
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb