Debian-Sicherheitsankündigung
DSA-006-1 zope -- Privilegien-Erweiterung
- Datum des Berichts:
- 19. Dez 2000
- Betroffene Pakete:
- zope
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
- Weitere Informationen:
Letzte Woche wurde ein Zope-Sicherheitsgutachten veröffentlicht, das darauf hinwies, dass Erik Enge ein Problem bei der Art der Rollenberechnung von Zope gefunden hat. In einigen Situationen überprüfte Zope die falsche Verzeichnishierarchie, wodurch lokale Rollen erlaubt wurden, die nicht hätten zugelassen werden dürfen. Mit anderen Worten: Benutzer mit Privilegien in einem Verzeichnis könnten Privilegien in einem anderen Verzeichnis erlangen.
Dies ist in Version 2.1.6-5.3 durch das Einspielen des 2000-12-15-Hotfixes behoben, und wir empfehlen Ihnen, Ihr zope-Paket unverzüglich zu aktualisieren.
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-5.3.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-5.3.dsc
-
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-5.3_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-5.3_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-5.3_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-5.3_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-5.3_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-5.3_sparc.deb