Säkerhetsbulletin från Debian
DSA-1863-1 zope2.10/zope2.9 -- flera sårbarheter
- Rapporterat den:
- 2009-08-15
- Berörda paket:
- zope2.10/zope2.9
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2009-0668, CVE-2009-0669.
- Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i zope, en funktionsrik webbapplikationsserver skriven i python, vilka i värsta fall kunde leda till exekvering av godtycklig kod. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-0668
På grund av ett programmeringsfel användes inte en auktoriseringsmetod i StorageServer-komponenten av ZEO som en intern metod. Detta tillät en illvillig klient att kringgå autentisering vid uppkoppling mot en ZEO-server genom att helt enkelt att antopa denna auktoriseringsmetod.
- CVE-2009-0668
ZEO-servern begränsade inte de anropsbara (callable) vid uppackning av serialiserat data som erhölls från en illvillig klient vilket kunde användas av en angripare för att exekvera godtycklig python-kod på servern genom att skicka särskilda picklar (serialiserade pythonobjekt). Detta tillät också en angripare att importera vilka importerbara moduler som helst då ZEO importerade modulen som innehöll en callable specificerad i en pickle för att undersöka om den hade satt en särskild flagga.
Uppdateringen begränsar också antalet nya objektidentiteter som en klient kan efterfråga till hundra eftersom det annars skulle vara möjligt att konsumera enorma resurser genom att efterfråga en stor mängd nya objektidentiteter. Inget CVE-id har givits denna rättelse.
För den gamla stabila utgåvan (Etch) har detta problem rättats i version 2.9.6-4etch2 av zope2.9.
För den stabila utgåvan (Lenny) har detta problem rättats i version 2.10.6-1+lenny1 av zope2.10.
För uttestningsutgåvan (Squeeze) kommer detta problem att rättas inom kort.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.10.9-1 av zope2.10.
Vi rekommenderar att ni uppgraderar era zope2.10/zope2.9-paket.
- CVE-2009-0668
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.diff.gz
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.dsc
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9-sandbox_2.9.6-4etch2_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/z/zope2.9/zope2.9_2.9.6-4etch2_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10-sandbox_2.10.6-1+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/z/zope2.10/zope2.10_2.10.6-1+lenny1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.