aboutsummaryrefslogtreecommitdiffstats
path: root/spanish/security/2001/dsa-043.wml
blob: e730baea1591d9e5494130740044f83a26ded399 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

#use wml::debian::translation-check translation="1936841f002ca29a0bf824712cb9bb1072141914"
<define-tag moreinfo>Este aviso cubre varias vulnerabilidades de Zope que
han sido remitidas.

<dl>
<dt>Hotfix 08_09_2000 "Alarma de seguridad de Zope y producto hotfix"
<dd>
    El asunto implica el hecho de que el método getRoles de objetos de usuario
    contenida en la implementación predeterminada UserFolder devuelve un tipo
    de Python mutable.  Ya que el objeto mutable está aún asociado con el
    objeto persistente User, los usuarios con la capacidad de editar DTML
    podrían ordenarse para darse a sí mismos roles extra para la duración de
    una petición simple mutando la lista de roles como parte del proceso de
    petición.

<dt>Hotfix 2000-10-02 "Actualización de seguridad de ZPublisher"
<dd>
    Es posible algunas veces acceder, a través de una sóla URL, a objetos
    protegidos por un rol que tiene el usuario in algún contexto, pero no en
    el contexto de los objetos accedidos.

<dt>Hotfix 2000-10-11 "Subscripting de ObjectManager"
<dd>
    El asunto implica el hecho de que la 'notación subscript' puede ser
    utilizada para acceder a elementos de ObjectManagers (Folders - carpetas)
    no restringían correctamente los valores de retorno para subelementos
    actuales.  Esto hizo posible acceder a los nombres que deberían ser
    privados desde DTML (objetos con nombres que empiezan con el carácter de
    subrayado '_').  Esto podía permitir a los autores de DTML ver la
    implementación privada de estructuras de datos y en ciertos casos
    posiblemente llamar a métodos a los que ellos no deberían tener acceso
    desde DTML.

<dt>Hotfix 2001-02-23 "Acceso a atributos de clase"
<dd>
    El asunto está relacionado con ZClasses en las que un usuario con
    capacidad de scripts através de la web en un sitio Zope puede ver y
    asignar atributos de clase a ZClasses, posiblemente permitiéndoles hacer
    cambios inapropiados a instancias de ZClass.
    <br>
    Una segunda parte arregla los problemas de las clases ObjectManager,
    PropertyManager y PropertySheet relativas a la mutabilidad del método
    devuelven valores que pueden ser percibidos como un problema de seguridad.
</dl>

Estas reparaciones están incluidas en zope 2.1.6-7 para Debian 2.2 (potato).
Le recomendamos que actualice su paquete zope inmediatamente.
</define-tag>
<define-tag description>explotación remota</define-tag>

# do not modify the following line
#include '$(ENGLISHDIR)/security/2001/dsa-043.data'

© 2014-2024 Faster IT GmbH | imprint | privacy policy