Bulletin d'alerte Debian

DSA-006-1 zope -- Escalade de privilèges

Date du rapport :

19 décembre 2000

Paquets concernés :

zope

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

La semaine dernière, un avertissement de sécurité sur Zope indique comment Erik Enge a trouvé un problème dans la manière dont Zope calcule les rôles. Dans certaines situations, Zope vérifie mal la hiérarchie de répertoire, ce qui peut l'amener à autoriser des rôles locaux alors qu'il ne devrait pas. En d'autres termes, les utilisateurs ayant des privilèges dans un répertoire peuvent obtenir les mêmes privilèges dans un autre répertoire.

Ce problème a été résolu dans la version 2.1.6-5.3 et inclus la rustine du 15/12/2000 ; nous vous recommandons la mise à jour immédiate de votre paquet Zope.

Corrigé dans :

Debian 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-5.3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-5.3.dsc; http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-5.3_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-5.3_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-5.3_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-5.3_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-5.3_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-5.3_sparc.deb