Bulletin d'alerte Debian
DSA-2234-1 zodb -- Plusieurs vulnérabilités
- Date du rapport :
- 10 mai 2011
- Paquets concernés :
- zodb
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 540465.
Dans le dictionnaire CVE du Mitre : CVE-2009-0668, CVE-2009-0669. - Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans python-zodb, un ensemble d'outils pour utiliser ZODB. Cela pourrait conduire à l'exécution de code arbitraire dans le pire des cas. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-0668
Le serveur ZEO ne restreint pas les callables lors de la reconstruction (
unpickling
) de données venant d'un client malveillant. Cela peut être utilisé par un attaquant afin d'exécuter du code Python arbitraire sur le serveur en envoyant certains pickles d'exception. Cela permet aussi à un attaquant d'importer n'importe quel module disponible car ZEO importe le module contenant un callable indiqué dans un pickle pour la recherche d'une certaine option. - CVE-2009-0669
À cause d'une erreur de programmation, une méthode d'autorisation dans le composant StorageServer de ZEO n'était pas utilisé comme méthode interne. Cela permet à un client malveillant de contourner l'authentification lors de la connexion à un serveur ZEO en appelant simplement cette méthode d'autorisation.
La mise à jour limite également le nombre de nouveaux identifiants d'objets qu'un client peut demander à 100 car il serait possible de consommer une grande quantité de ressources en demandant une grande quantité d'identifiants d'objets. Aucun identifiant CVE n'a été attribué à cela.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:3.6.0-2+lenny3.
La distribution stable (Squeeze) n'est pas concernée, elle a été corrigée avant la publication officielle.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:3.8.2-1.
Nous vous recommandons de mettre à jour vos paquets zodb.
- CVE-2009-0668