Рекомендация Debian по безопасности

DSA-043-1 zope -- удалённая уязвимость

Дата сообщения:

09.03.2001

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2458.
В каталоге Mitre CVE: CVE-2001-0568, CVE-2001-0569.

Более подробная информация:

Данная рекомендация покрывает несколько уязвимостей в Zope, которые были решены.

Исправление 08_09_2000 "Предупреждение безопасности Zope и исправление": Эта проблема касается того факта, что метод getRoles пользовательских объектов, содержащихся в реализации UserFolder по умолчанию, возвращает изменяемый тип языка Python. Поскольку изменяемый объект всё ещё ассоциируется с постоянным объектом User, пользователи, способные редактировать DTML, могут выдать себе дополнительные роли на время одного запроса, изменяя список ролей в качестве части обработки запроса.
Исправление 2000-10-02 "Обновление безопасности ZPublisher": Иногда можно получить доступ (только через URL) к объектам, защищённым ролью, которую пользователь имеет в некотором контексте, но не в контексте объекта, к которому выполняется доступ.
Hotfix 2000-10-11 "Индексация ObjectManager": Эта проблема касается того факта, что 'нотация индекса', которая может использоваться для получения доступа к ObjectManagers (Folders), неправильно ограничивает возвращаемые значения только фактическими подпунктами. Это позволяет получать доступ к именам, которые должны быть закрыты из DTML (объекты с именами, начинающимися с символа подчёркивания, '_'). Это позволяет авторам DTML просматривать закрытую реализацию структур данных, а в некоторых случаях вызывать методы, к которым они не должны иметь доступа из DTML.
Hotfix 2001-02-23 "Доступ к атрибуту класса": Эта проблема связана с ZClass, в которых пользователь, способный через веб выполнить скриптинг на сайте Zope, может просматривать и присваивать ZClass атрибуты класса, что может позволить ему внести недопустимые изменения в образцы ZClass.
Вторая часть исправляет проблемы в классах ObjectManager, PropertyManager и PropertySheet, связанные с изменением возвращаемых методом значений, что считается проблемой безопасности.

Эти исправления включены в пакет zope версии 2.1.6-7 для Debian 2.2 (potato). Рекомендуется как можно скорее обновить пакет zope.

Исправлено в:

Debian 2.2 (potato)

Исходный код:: http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.dsc; http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-7.diff.gz; http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-7_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-7_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-7_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-7_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-7_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-7_sparc.deb