[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:28193] [Translate] [SECURITY] [DSA 043-2] New versions of Zope fix vulnerabilities
- From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
- Subject: [debian-users:28193] [Translate] [SECURITY] [DSA 043-2] New versions of Zope fix vulnerabilities
- Date: Sat, 28 Apr 2001 10:18:27 +0900
- X-authentication-warning: capek.localnet: Host gentiana.localnet [192.168.200.6] claimed to be [192.168.200.6]
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
- Message-id: <p04320401b70fca94dfd6@[192.168.200.6]>
- X-mail-count: 28193
- X-mailer: Macintosh Eudora Version 4.3.2-J
かねこです。
URL 等は元記事を確認ください。
#こういうのは別番号取って欲しい気も…
------>8------------>8------------>8------------>8------------>8
- ----------------------------------------------------------------------------
Debian Security Advisory DSA-043-2 security@debian.org
http://www.debian.org/security/ Martin Schulze
April 26, 2001
- ----------------------------------------------------------------------------
Packages : zope
Vulnerability : 複数の脆弱性
Type : リモートからの攻撃
Debian-specific: no
Fixed version : zope 2.1.6-9
これは DSA-043-1 の追加で、更に幾つかの弱点を修正しています。一部おか
しくなっていた点を修正しています。前のセキュリティリリースの 2.1.6-7
には二つの大きな問題がありました。
1. zope 2.1.6-7 には誤って Hotfix 2000-10-02 が含まれていました。こ
の Hotfix は Zope 2.2.0 以降にのみ関連するものです。この Hotfix
を含めたことにより認証が全く動作しなくなっており、Zope 2.1.6-7 が
事実上使えなくなっていました。
Hotfix 2000-10-02 は 2.1.6-9 で取り除かれています。
2. zope 2.1.6-7 の Hotfix 2000-10-11 はうまく動作せず、この Hotfix
で対処しようとしていた脆弱性がそのままになっていました。
Hotfix 2000-10-11 "ObjectManager subscripting"
問題は、ObjectManagers (フォルダ) にアクセスするために用いる
`subscript notation' の返り値が実際のサブアイテムに関する値だけに
制限されていないことです。このため、DTML からは隠されているはずの
名前 ('_' キャラクタを最初にもつ名前のオブジェクト) にアクセスで
きてしまいます。これを使って、DTML の著者は隠されているはずのデー
タ構造を見ることができますし、ある場合には DTML から実行が許され
ないメソッドが呼べてしまう可能性があります。
Hotfix 2000-10-11 の問題は 2.1.6-9 で対処されました。
すぐに zope パッケージをアップグレードすることを薦めます。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
脚注の行から適切な設定を取ってリソースに付け加えることによって、
自動アップデートを使うようにすることも出来ます。
Debian GNU/Linux 2.2 alias potato
- ------------------------------------
Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
ャ向けにリリースされています。
Source archives:
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-9.dsc
MD5 checksum: c89f61955e3c676dc241fa7de64e4962
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-9.diff.gz
MD5 checksum: 14199de307df2b8c786e7bf0de5c7a5f
http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
MD5 checksum: 6ec4320afd6925c24f9f1b5cd7c4d7c5
Alpha architecture:
http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-9_alpha.deb
MD5 checksum: 4bc3e45fecb9ba97e9636c4f18a29db6
ARM architecture:
http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-9_arm.deb
MD5 checksum: 8bdafc04fb0a24f41e297bfd1e6ee669
Intel ia32 architecture:
http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-9_i386.deb
MD5 checksum: ae4f9c9addd2cc22e05ecf2c1da09a14
Motorola 680x0 architecture:
http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-9_m68k.deb
MD5 checksum: ea002a86ac1f57181b561ef41c2332c8
PowerPC architecture:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-9_powerpc.deb
MD5 checksum: 315018ce263ff4f3c433a786bb738381
Sun Sparc architecture:
http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-9_sparc.deb
MD5 checksum: 9cdfe687f3058f556222b7fa55503dc3
これらのファイルは近々
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ へ移されます。
未リリースのアーキテクチャについては、以下の適切なディレクトリを参照ください
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .
- ----------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------