Bulletin d'alerte Debian
DSA-1863-1 zope2.10/zope2.9 -- Plusieurs vulnérabilités
- Date du rapport :
- 15 août 2009
- Paquets concernés :
- zope2.10/zope2.9
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-0668, CVE-2009-0669.
- Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans Zope, un serveur d'applications web avec de nombreuses fonctionnalités écrit en Python, qui pourraient conduire à l'exécution de code arbitraire dans le pire des cas. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-0669
À cause d'une erreur de programmation, une méthode d'autorisation dans le composant StorageServer de ZEO n'était pas utilisée comme méthode interne. Cela permet à un client malveillant de contourner l'authentification lors de la connexion à un serveur ZEO en appelant simplement cette méthode d'autorisation.
- CVE-2009-0668
Le serveur ZEO ne restreint pas les callables lors de la reconstruction (
unpickling
) de données venant d'un client malveillant. Cela peut être utilisé par un attaquant afin d'exécuter du code Python arbitraire sur le serveur en envoyant certains pickles d'exception. Cela permet aussi à un attaquant d'importer n'importe quel module disponible car ZEO importe le module contenant un callable indiqué dans un pickle pour la recherche d'une certaine option. La mise à jour limite également le nombre de nouveaux identifiants d'objets qu'un client peut demander à 100 car il serait possible de consommer une grande quantité de ressources en demandant une grande quantité d'identifiants d'objets. Aucun identifiant CVE n'a été attribué à cela.
Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.9.6-4etch2 de zope2.9.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.10.6-1+lenny1 de zope2.10.
Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.10.9-1 de zope2.10.
Nous vous recommandons de mettre à jour vos paquets zope2.10 ou zope2.9.
- CVE-2009-0669
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.diff.gz
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.dsc
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9-sandbox_2.9.6-4etch2_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10-sandbox_2.10.6-1+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.