Рекомендация Debian по безопасности
DSA-2096-1 zope-ldapuserfolder -- отсутствие проверки ввода
- Дата сообщения:
- 24.08.2010
- Затронутые пакеты:
- zope-ldapuserfolder
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 593466.
В каталоге Mitre CVE: CVE-2010-2944. - Более подробная информация:
-
Джереми Джеймс обнаружил, что код аутентификации в LDAPUserFolder, расширении Zope для аутентификации на сервере LDAP, не выполняет проверку пароля, передаваемого пользователем, используемым для разрешения аварийных ситуаций. Злоумышленники, способные войти как указанный пользователь, могут использовать данную уязвимость для получения доступа с правами администратора к экземпляру Zope путём передачи произвольного пароля.
В стабильном выпуске (lenny) эта проблема была исправлена в версии 2.9-1+lenny1.
В готовящемся стабильном (squeeze) и нестабильном (sid) выпусках этот пакет отсутствует.
Рекомендуется обновить пакет zope-ldapuserfolder.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1.dsc
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/z/zope-ldapuserfolder/zope-ldapuserfolder_2.9-1+lenny1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.