Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2234-1 zodb

Bulletin d'alerte Debian

DSA-2234-1 zodb -- Plusieurs vulnérabilités

Date du rapport :

10 mai 2011

Paquets concernés :

zodb

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 540465.
Dans le dictionnaire CVE du Mitre : CVE-2009-0668, CVE-2009-0669.

Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans python-zodb, un ensemble d'outils pour utiliser ZODB. Cela pourrait conduire à l'exécution de code arbitraire dans le pire des cas. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2009-0668

  Le serveur ZEO ne restreint pas les callables lors de la reconstruction (unpickling) de données venant d'un client malveillant. Cela peut être utilisé par un attaquant afin d'exécuter du code Python arbitraire sur le serveur en envoyant certains pickles d'exception. Cela permet aussi à un attaquant d'importer n'importe quel module disponible car ZEO importe le module contenant un callable indiqué dans un pickle pour la recherche d'une certaine option.

• CVE-2009-0669

  À cause d'une erreur de programmation, une méthode d'autorisation dans le composant StorageServer de ZEO n'était pas utilisé comme méthode interne. Cela permet à un client malveillant de contourner l'authentification lors de la connexion à un serveur ZEO en appelant simplement cette méthode d'autorisation.

La mise à jour limite également le nombre de nouveaux identifiants d'objets qu'un client peut demander à 100 car il serait possible de consommer une grande quantité de ressources en demandant une grande quantité d'identifiants d'objets. Aucun identifiant CVE n'a été attribué à cela.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:3.6.0-2+lenny3.

La distribution stable (Squeeze) n'est pas concernée, elle a été corrigée avant la publication officielle.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:3.8.2-1.

Nous vous recommandons de mettre à jour vos paquets zodb.