Debian セキュリティ勧告

zope -- 認証されていない権限の拡大 (更新されています)

報告日時:

2000-08-21

影響を受けるパッケージ:

zope

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2000-0725.

詳細:

2.2.1 より古い Zope のバージョンにおいては、DTML を編集することのできるユーザが、リクエスト中、認められている以上の役割に対し、認証されていないアクセスをすることが可能となっています。以前、GNU/Linux の zope パッケージ 2.1.6-5.1 では修正が発表されましたが、そのパッケージではこの問題について十分に対策がとられておらず、この発表がそれにとって代わっています。より詳しい情報は、 http://www.zope.org/Products/Zope/Hotfix_2000-08-17/security_alert で入手することができます。

Debian GNU/Linux 2.1 (slink) には zope は含まれておらず、脆弱ではありません。 Debian GNU/Linux 2.2 (potato) には zope が含まれているので、この問題に対して脆弱です。 Debian GNU/Linux 2.2 (potato) 用の修正されたパッケージは、 zope 2.1.6-5.2 で使用可能です。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/potato/updates/main/source/zope_2.1.6-5.2.diff.gz; http://security.debian.org/dists/potato/updates/main/source/zope_2.1.6-5.2.dsc; http://security.debian.org/dists/potato/updates/main/source/zope_2.1.6.orig.tar.gz
alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/zope_2.1.6-5.2_alpha.deb
arm:: http://security.debian.org/dists/potato/updates/main/binary-arm/zope_2.1.6-5.2_arm.deb
i386:: http://security.debian.org/dists/potato/updates/main/binary-i386/zope_2.1.6-5.2_i386.deb
m68k:: http://security.debian.org/dists/potato/updates/main/binary-m68k/zope_2.1.6-5.2_m68k.deb
powerpc:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/zope_2.1.6-5.2_powerpc.deb
sparc:: http://security.debian.org/dists/potato/updates/main/binary-sparc/zope_2.1.6-5.2_sparc.deb