[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:28193] [Translate] [SECURITY] [DSA 043-2] New versions of Zope fix vulnerabilities



かねこです。
URL 等は元記事を確認ください。

#こういうのは別番号取って欲しい気も…

------>8------------>8------------>8------------>8------------>8
- ----------------------------------------------------------------------------
Debian Security Advisory DSA-043-2                       security@debian.org
http://www.debian.org/security/                               Martin Schulze
April 26, 2001
- ----------------------------------------------------------------------------

Packages       : zope
Vulnerability  : 複数の脆弱性
Type           : リモートからの攻撃
Debian-specific: no
Fixed version  : zope 2.1.6-9

これは DSA-043-1 の追加で、更に幾つかの弱点を修正しています。一部おか
しくなっていた点を修正しています。前のセキュリティリリースの 2.1.6-7
には二つの大きな問題がありました。

 1. zope 2.1.6-7 には誤って Hotfix 2000-10-02 が含まれていました。こ
    の Hotfix は Zope 2.2.0 以降にのみ関連するものです。この Hotfix
    を含めたことにより認証が全く動作しなくなっており、Zope 2.1.6-7 が
    事実上使えなくなっていました。

    Hotfix 2000-10-02 は 2.1.6-9 で取り除かれています。

 2. zope 2.1.6-7 の Hotfix 2000-10-11 はうまく動作せず、この Hotfix
    で対処しようとしていた脆弱性がそのままになっていました。

    Hotfix 2000-10-11 "ObjectManager subscripting"

    問題は、ObjectManagers (フォルダ) にアクセスするために用いる
    `subscript notation' の返り値が実際のサブアイテムに関する値だけに
    制限されていないことです。このため、DTML からは隠されているはずの
    名前 ('_' キャラクタを最初にもつ名前のオブジェクト) にアクセスで
    きてしまいます。これを使って、DTML の著者は隠されているはずのデー
    タ構造を見ることができますし、ある場合には DTML から実行が許され
    ないメソッドが呼べてしまう可能性があります。

    Hotfix 2000-10-11 の問題は 2.1.6-9 で対処されました。

すぐに zope パッケージをアップグレードすることを薦めます。

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

脚注の行から適切な設定を取ってリソースに付け加えることによって、
自動アップデートを使うようにすることも出来ます。


Debian GNU/Linux 2.2 alias potato
- ------------------------------------

  Potato は alpha, arm, i386, m68k, powerpc と sparc の各アーキテクチ
 ャ向けにリリースされています。


  Source archives:

    http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-9.dsc
      MD5 checksum: c89f61955e3c676dc241fa7de64e4962
    http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6-9.diff.gz
      MD5 checksum: 14199de307df2b8c786e7bf0de5c7a5f
    http://security.debian.org/dists/stable/updates/main/source/zope_2.1.6.orig.tar.gz
      MD5 checksum: 6ec4320afd6925c24f9f1b5cd7c4d7c5

  Alpha architecture:

    http://security.debian.org/dists/stable/updates/main/binary-alpha/zope_2.1.6-9_alpha.deb
      MD5 checksum: 4bc3e45fecb9ba97e9636c4f18a29db6

  ARM architecture:

    http://security.debian.org/dists/stable/updates/main/binary-arm/zope_2.1.6-9_arm.deb
      MD5 checksum: 8bdafc04fb0a24f41e297bfd1e6ee669

  Intel ia32 architecture:

    http://security.debian.org/dists/stable/updates/main/binary-i386/zope_2.1.6-9_i386.deb
      MD5 checksum: ae4f9c9addd2cc22e05ecf2c1da09a14

  Motorola 680x0 architecture:

    http://security.debian.org/dists/stable/updates/main/binary-m68k/zope_2.1.6-9_m68k.deb
      MD5 checksum: ea002a86ac1f57181b561ef41c2332c8

  PowerPC architecture:

    http://security.debian.org/dists/stable/updates/main/binary-powerpc/zope_2.1.6-9_powerpc.deb
      MD5 checksum: 315018ce263ff4f3c433a786bb738381

  Sun Sparc architecture:

    http://security.debian.org/dists/stable/updates/main/binary-sparc/zope_2.1.6-9_sparc.deb
      MD5 checksum: 9cdfe687f3058f556222b7fa55503dc3


  これらのファイルは近々
  ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ へ移されます。

未リリースのアーキテクチャについては、以下の適切なディレクトリを参照ください
 ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .

- ----------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------