Debian セキュリティ勧告
DSA-1863-1 zope2.10/zope2.9 -- 複数の脆弱性
- 報告日時:
- 2009-08-15
- 影響を受けるパッケージ:
- zope2.10/zope2.9
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2009-0668, CVE-2009-0669.
- 詳細:
-
python で記述された高機能ウェブアプリケーションフレームワーク zope に、 リモートから攻撃可能な複数の問題が発見されました。この欠陥を攻撃するこ とにより、最悪の場合任意のコードの実行が可能です。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
- CVE-2009-0668
プログラムミスにより、ZEO の StorageServer コンポーネントの認証方法が内 部メソッドで使われていません。これにより悪意を持ったクライアントが ZEO サーバに接続している際、単に認証メソッドを呼び出すことで認証の迂回が可能 です。
- CVE-2009-0668
ZEO サーバが、悪意を持つクライアントから受け取ったデータをアンピックルす るさいに、callable の制約を適用していないため、攻撃者が特定の例外ピック ルを送ることで任意の python コードを実行可能です。ZEO が特定のフラグをテ ストするためにピックルで指定した callable を含むモジュールをインポートす るため、この欠陥により攻撃者が任意のインポート可能なモジュールのインポー トも許します。
この更新では、クライアントが要求できる新しいオブジェクト id の数を 100 以下とする制限も行っています。これは、多量のオブジェクト id を要求するこ とで多量のリソースを消費することが可能なためです。この問題には CVE 番号 は採番されていません。
旧安定版 (oldstable) ディストリビューション (etch) では、この問題は zope2.9 のバージョン 2.9.6-4etch2 で修正されています。
安定版 (stable) ディストリビューション (lenny) では、この問題は zope2.10 のバージョン 2.10.6-1+lenny1で修正されています。
テスト版ディストリビューション (squeeze) では、この問題は近く修正予定で す。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ ョン 2.10.9-1 の zope2.10 で修正されています。
直ぐに zope2.10/zope2.9 パッケージをアップグレードすることを勧めます。
- CVE-2009-0668
- 修正:
-
Debian GNU/Linux 4.0 (etch)
- ソース:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.diff.gz
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.dsc
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.dsc
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9-sandbox_2.9.6-4etch2_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- ソース:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.dsc
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10-sandbox_2.10.6-1+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。