blob: d3f5a761b9abd1006aeef38ab3f896957273494f (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flere sårbarheder</define-tag>
<define-tag moreinfo>
<p>Flere fjernudnytbare sårbarheder er opdaget i python-zodb, et sæt værktøjer
til anvendelse af ZODB, som i værste fald kunne føre til udførelse af vilkårlig
kode. Projektet Common Vulnerabilities and Exposures har registreret følgende
problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0668">CVE-2009-0668</a>
<p>ZEO-serveren begrænsede ikke <q>callables</q> ved <q>unpickling</q> af
data modtaget fra en ondsindet klient, hvilket kunne anvendes af en angriber
til at udføre vilkårlig Python-kode på serveren ved at sende visse
<q>exception pickles</q>. Dermed var det også muligt for an angriber, at
importere ethvert importerbart modul, da ZEO importerede modulet indeholdende
en <q>callable</q> specificeret i en <q>pickle</q> for at teste for
forekomsten af et bestemt flag.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0669">CVE-2009-0669</a>
<p>På grund af en programmeringsfejl blev eni autorisationsmetode i
StorageServer-komponenten i ZEO ikke anvendt som en intern metode. Dermed
var det muligt for en ondsindet klient at omgå autentifikation, når den
forbandt sig til en ZEO-server, ved blot at kalde
autorisationsmetoden.</p></li>
</ul>
<p>Opdateringen begrænser også antallet af nye objektid'er en klient bede om,
til 100, da det ellers ville være muligt at forbruge en enorm mængde ressourcer
ved at bede om en stor mængde nye objektid'er. Der er endnu ikke tildelt en
CVE-id hertil.</p>
<p>I den gamle stabile distribution (lenny), er dette problem rettet i version
1:3.6.0-2+lenny3.</p>
<p>Den stabile distribution (squeeze) er ikke påvirket, da den blev rettet før
den oprindelige udgivelse.</p>
<p>I den ustabile distribution (sid), er dette problem rettet i version
1:3.8.2-1.</p>
<p>Vi anbefaler at du opgraderer dine zodb-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2234.data"
|