blob: e730baea1591d9e5494130740044f83a26ded399 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
#use wml::debian::translation-check translation="1936841f002ca29a0bf824712cb9bb1072141914"
<define-tag moreinfo>Este aviso cubre varias vulnerabilidades de Zope que
han sido remitidas.
<dl>
<dt>Hotfix 08_09_2000 "Alarma de seguridad de Zope y producto hotfix"
<dd>
El asunto implica el hecho de que el método getRoles de objetos de usuario
contenida en la implementación predeterminada UserFolder devuelve un tipo
de Python mutable. Ya que el objeto mutable está aún asociado con el
objeto persistente User, los usuarios con la capacidad de editar DTML
podrían ordenarse para darse a sí mismos roles extra para la duración de
una petición simple mutando la lista de roles como parte del proceso de
petición.
<dt>Hotfix 2000-10-02 "Actualización de seguridad de ZPublisher"
<dd>
Es posible algunas veces acceder, a través de una sóla URL, a objetos
protegidos por un rol que tiene el usuario in algún contexto, pero no en
el contexto de los objetos accedidos.
<dt>Hotfix 2000-10-11 "Subscripting de ObjectManager"
<dd>
El asunto implica el hecho de que la 'notación subscript' puede ser
utilizada para acceder a elementos de ObjectManagers (Folders - carpetas)
no restringían correctamente los valores de retorno para subelementos
actuales. Esto hizo posible acceder a los nombres que deberían ser
privados desde DTML (objetos con nombres que empiezan con el carácter de
subrayado '_'). Esto podía permitir a los autores de DTML ver la
implementación privada de estructuras de datos y en ciertos casos
posiblemente llamar a métodos a los que ellos no deberían tener acceso
desde DTML.
<dt>Hotfix 2001-02-23 "Acceso a atributos de clase"
<dd>
El asunto está relacionado con ZClasses en las que un usuario con
capacidad de scripts através de la web en un sitio Zope puede ver y
asignar atributos de clase a ZClasses, posiblemente permitiéndoles hacer
cambios inapropiados a instancias de ZClass.
<br>
Una segunda parte arregla los problemas de las clases ObjectManager,
PropertyManager y PropertySheet relativas a la mutabilidad del método
devuelven valores que pueden ser percibidos como un problema de seguridad.
</dl>
Estas reparaciones están incluidas en zope 2.1.6-7 para Debian 2.2 (potato).
Le recomendamos que actualice su paquete zope inmediatamente.
</define-tag>
<define-tag description>explotación remota</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2001/dsa-043.data'
|