Zope映像和文件对象的不充分保护

/ns/ld/unix/data/20010303062047.htm

日期:2000-12-21

摘要:
Zope正引导开放源码web应用程序服务器. Zope中发现一个新的问题,
它允许有编辑DTML权限的用户可以更新他们没有权利更新的其他对象.
受影响系统: 2.2.4及以上版本的Zope

2.2.4及以上版本的Zope中有一个潜在的安全隐患. 这个问题涉及到映像和文件对象数据更新方法的不正确保护.
因为其方法没有正确地保护, 所以有编辑DTML权限的用户可能会通过DTML更新一个文件或映像的数据,
虽然他们没有那些对象的编辑权限.

解决方案:
升级你的Zope数据包.

Debian
这个问题已经在2.1.6-5.4版本中修复了,包含2000-12-19热修复, 建议你立刻升级你的Zope数据包.

wget url 将为你取得该文件
dpkg -i file.deb 将安装相关文件


Debian GNU/Linux 2.2 别名 potato

Potato已经发布了关于alpha, arm, i386, m68k, PowerPC及Sparc的文档.

源文档:
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-5.4.diff.gz
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-5.4.dsc
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz

Alpha 文档:
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-5.4_alpha.deb

ARM 文档:
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-5.4_arm.deb

Intel ia32 文档:
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-5.4_i386.deb

Motorola 680x0 文档:
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-5.4_m68k.deb

PowerPC 文档:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-5.4_powerpc.deb

Sun Sparc 文档:
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-5.4_sparc.deb

Mandrake:

Linux-Mandrake 7.1:
7.1/RPMS/Zope-2.2.4-1.2mdk.i586.rpm
7.1/RPMS/Zope-components-2.2.4-1.2mdk.i586.rpm
7.1/RPMS/Zope-core-2.2.4-1.2mdk.i586.rpm
7.1/RPMS/Zope-pcgi-2.2.4-1.2mdk.i586.rpm
7.1/RPMS/Zope-services-2.2.4-1.2mdk.i586.rpm
7.1/RPMS/Zope-zpublisher-2.2.4-1.2mdk.i586.rpm
7.1/RPMS/Zope-zserver-2.2.4-1.2mdk.i586.rpm
7.1/RPMS/Zope-ztemplates-2.2.4-1.2mdk.i586.rpm
7.1/SRPMS/Zope-2.2.4-1.2mdk.src.rpm

Linux-Mandrake 7.2:
7.2/RPMS/Zope-2.2.4-1.2mdk.i586.rpm
7.2/RPMS/Zope-components-2.2.4-1.2mdk.i586.rpm
7.2/RPMS/Zope-core-2.2.4-1.2mdk.i586.rpm
7.2/RPMS/Zope-pcgi-2.2.4-1.2mdk.i586.rpm
7.2/RPMS/Zope-services-2.2.4-1.2mdk.i586.rpm
7.2/RPMS/Zope-zpublisher-2.2.4-1.2mdk.i586.rpm
7.2/RPMS/Zope-zserver-2.2.4-1.2mdk.i586.rpm
7.2/RPMS/Zope-ztemplates-2.2.4-1.2mdk.i586.rpm
7.2/SRPMS/Zope-2.2.4-1.2mdk.src.rpm

用MandrakeUpdate来自动升级

如果你想手动升级,可以从我们的FTP镜像服务器之一下载升级包,然后用"rpm -Fvh *.rpm"升级。

你可以直接从以下地址下载升级包:
http://www.linux-mandrake.com/en/ftp.php3.

更新的数据包可以在目录"updates/[ver]/RPMS/"找到.

RedHat:

Red Hat Powertools 6.1 and 6.2:

SRPMS:
ftp://updates.redhat.com/powertools/6.2/SRPMS/Zope-Hotfix-DTML-2000_12_18-1.src.rpm

noarch:
ftp://updates.redhat.com/powertools/6.2/noarch/Zope-Hotfix-DTML-2000_12_18-1.noarch.rpm

Red Hat Powertools 7.0:

SRPMS:
ftp://updates.redhat.com/powertools/7.0/SRPMS/Zope-Hotfix-DTML-2000_12_18-1.src.rpm
ftp://updates.redhat.com/powertools/7.0/SRPMS/Zope-Hotfix-DTML-2000_12_18-1.src.rpm

noarch:
ftp://updates.redhat.com/powertools/7.0/noarch/Zope-Hotfix-DTML-2000_12_18-1.noarch.rpm