Рекомендация Debian по безопасности
DSA-043-1 zope -- удалённая уязвимость
- Дата сообщения:
- 09.03.2001
- Затронутые пакеты:
-
zope
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2458.
В каталоге Mitre CVE: CVE-2001-0568, CVE-2001-0569.
- Более подробная информация:
- Данная рекомендация покрывает несколько уязвимостей в Zope,
которые были решены.
- Исправление 08_09_2000 "Предупреждение безопасности Zope и исправление"
-
Эта проблема касается того факта, что метод getRoles пользовательских объектов,
содержащихся в реализации UserFolder по умолчанию, возвращает изменяемый
тип языка Python. Поскольку изменяемый объект всё ещё ассоциируется с
постоянным объектом User, пользователи, способные редактировать DTML,
могут выдать себе дополнительные роли на время
одного запроса, изменяя список ролей в качестве части обработки
запроса.
- Исправление 2000-10-02 "Обновление безопасности ZPublisher"
-
Иногда можно получить доступ (только через URL) к объектам,
защищённым ролью, которую пользователь имеет в некотором контексте, но не в
контексте объекта, к которому выполняется доступ.
- Hotfix 2000-10-11 "Индексация ObjectManager"
-
Эта проблема касается того факта, что 'нотация индекса', которая
может использоваться для получения доступа к ObjectManagers (Folders), неправильно
ограничивает возвращаемые значения только фактическими подпунктами. Это
позволяет получать доступ к именам, которые должны быть закрыты из DTML
(объекты с именами, начинающимися с символа подчёркивания, '_').
Это позволяет авторам DTML просматривать закрытую реализацию структур
данных, а в некоторых случаях вызывать методы, к которым они не
должны иметь доступа из DTML.
- Hotfix 2001-02-23 "Доступ к атрибуту класса"
-
Эта проблема связана с ZClass, в которых пользователь, способный через веб
выполнить скриптинг на сайте Zope, может просматривать и присваивать ZClass
атрибуты класса, что может позволить ему внести недопустимые изменения
в образцы ZClass.
Вторая часть исправляет проблемы в классах ObjectManager, PropertyManager
и PropertySheet, связанные с изменением возвращаемых методом
значений, что считается проблемой безопасности.
Эти исправления включены в пакет zope версии 2.1.6-7 для Debian 2.2 (potato). Рекомендуется
как можно скорее обновить пакет zope.
- Исправлено в:
-
Debian 2.2 (potato)
- Исходный код:
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb