Debians sikkerhedsbulletin
DSA-1863-1 zope2.10/zope2.9 -- flere sårbarheder
- Rapporteret den:
- 15. aug 2009
- Berørte pakker:
- zope2.10/zope2.9
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2009-0668, CVE-2009-0669.
- Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i zope, en funktionsrig webapplikationsserver skrevet i python, der i værste fald kunne føre til udførelse af vilkårlig kode. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-0668
På grund af en programmeringsfejl, blev en autorisationsmetode i komponenten StorageServer i ZEO ikke anvendt som en intern metode. Det gjorde det muligt for en ondsindet klient at omgå autentifikation, når den forbandt sig til en ZEO-server, ved blot at kalde denne autorisationsmetode.
- CVE-2009-0668
ZEO-serveren begrænsede ikke callables, når den unpicklede data modtaget fra en ondsindet klient, hvilket kunne anvendes af en angriber til at udføre vilkårlig python-kode på serveren ved at sende visse exception-pickles. Det gjorde det også muligt for en angriber at importere ethvert importérbart modul, da ZEO importerer modulet indeholdende en callable angivet i en pickel til at teste for visse flag.
Opdateringen begrænset også antallet af nye objektid'er en klient kan bede om, til ethundrede, da det ville være muligt at forbruge store mængder ressourcer ved at bede om et stort bundt nye objektid'er. Der er ikke blevet tildelt en CVE-id hertil.
I den gamle stabile distribution (etch), er dette problem rettet i version 2.9.6-4etch2 of zope2.9.
I den stabile distribution (lenny), er dette problem rettet i version 2.10.6-1+lenny1 of zope2.10.
I distributionen testing (squeeze), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 2.10.9-1 of zope2.10.
Vi anbefaler at du opgraderer dine zope2.10/zope2.9-pakker.
- CVE-2009-0668
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.diff.gz
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.dsc
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9-sandbox_2.9.6-4etch2_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10-sandbox_2.10.6-1+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.