Debians sikkerhedsbulletin
DSA-2096-1 zope-ldapuserfolder -- manglende kontrol af inddata
- Rapporteret den:
- 24. aug 2010
- Berørte pakker:
- zope-ldapuserfolder
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 593466.
I Mitres CVE-ordbog: CVE-2010-2944. - Yderligere oplysninger:
-
Jeremy James opdagede at autentificeringskoden i LDAPUserFolder, en Zope-udvidelse som anvendes til autentificering op mod en LDAP-server, ikke kontrollerede adgangskoden der blev leveret til brugeren beregnet til nødsituationer. Ondsindede brugere, som det lykkedes at få fingre i brugeren til nødsituationer, kunne anvende fejlen til at få administrativ adgang til Zope-instansen ved at angive en vilkårlig adgangskode.
I den stabile distribution (lenny), er dette problem rettet i version 2.9-1+lenny1.
Pakken findes ikke længere i den kommende stabile distribution (squeeze) eller i den ustabile distribution.
Vi anbefaler at du opgraderer din zope-ldapuserfolder-pakke.
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.