Рекомендация Debian по безопасности

DSA-043-1 zope -- удалённая уязвимость

Дата сообщения:
09.03.2001
Затронутые пакеты:
zope
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2458.
В каталоге Mitre CVE: CVE-2001-0568, CVE-2001-0569.
Более подробная информация:
Данная рекомендация покрывает несколько уязвимостей в Zope, которые были решены.
Исправление 08_09_2000 "Предупреждение безопасности Zope и исправление"
Эта проблема касается того факта, что метод getRoles пользовательских объектов, содержащихся в реализации UserFolder по умолчанию, возвращает изменяемый тип языка Python. Поскольку изменяемый объект всё ещё ассоциируется с постоянным объектом User, пользователи, способные редактировать DTML, могут выдать себе дополнительные роли на время одного запроса, изменяя список ролей в качестве части обработки запроса.
Исправление 2000-10-02 "Обновление безопасности ZPublisher"
Иногда можно получить доступ (только через URL) к объектам, защищённым ролью, которую пользователь имеет в некотором контексте, но не в контексте объекта, к которому выполняется доступ.
Hotfix 2000-10-11 "Индексация ObjectManager"
Эта проблема касается того факта, что 'нотация индекса', которая может использоваться для получения доступа к ObjectManagers (Folders), неправильно ограничивает возвращаемые значения только фактическими подпунктами. Это позволяет получать доступ к именам, которые должны быть закрыты из DTML (объекты с именами, начинающимися с символа подчёркивания, '_'). Это позволяет авторам DTML просматривать закрытую реализацию структур данных, а в некоторых случаях вызывать методы, к которым они не должны иметь доступа из DTML.
Hotfix 2001-02-23 "Доступ к атрибуту класса"
Эта проблема связана с ZClass, в которых пользователь, способный через веб выполнить скриптинг на сайте Zope, может просматривать и присваивать ZClass атрибуты класса, что может позволить ему внести недопустимые изменения в образцы ZClass.
Вторая часть исправляет проблемы в классах ObjectManager, PropertyManager и PropertySheet, связанные с изменением возвращаемых методом значений, что считается проблемой безопасности.
Эти исправления включены в пакет zope версии 2.1.6-7 для Debian 2.2 (potato). Рекомендуется как можно скорее обновить пакет zope.
Исправлено в:

Debian 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb