blob: dd58019418a5912892ca5f177ebccf8a6553abe7 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
<define-tag description>fjärråtkomst</define-tag>
<define-tag moreinfo>Denna bulletin täcker flera sårbarheter i Zope vilka har
rättats.
<dl>
<dt lang=en>Hotfix 08_09_2000 "Zope security alert and hotfix product"
<dd>
Detta problem inbegriper det faktum att GetRoles-metoden för användarobjekt
i den förvalda UserFolder-implementationen returnerar en Pythontyp som är
<span lang=en>"mutable"</span>.
På grund av att detta objekt fortfarande är associerat med det persistenta
User-objektet, kan användare med rätt att redigera DTML-filer ge sig själv
ytterligare roller under ett anrop genom att mutera rolllistan som en
del av hanteringen av anropet.
<dt lang=en>Hotfix 2000-10-02 "ZPublisher security update"
<dd>
Det är ibland möjligt att nå objekt skyddade av en roll som en användare
har i någon kontext (enbart via URL), men inte i kontexten för det objekt
som hämtas.
<dt lang=en>Hotfix 2000-10-11 "ObjectManager subscripting"
<dd>
Problemet inbegriper det faktum att den subskript-notation som kan användas
för att nå åtkomstposter i ObjectManagers (mappar) inte korrekt begränsar
värden till bara själva underposterna.
Detta gjorde det möjligt att nå namn som skulle vara privata från DTML
(objekt med namn som börjar med understreck, "_").
Detta kunde göra så att DTML-författare kunde se privata
implementationsdatastrukturer och ibland anropa metoder de inte borde nå
från DTML.
<dt lang=en>Hotfix 2001-02-23 "Class attribute access"
<dd>
Problemet är relaterat till ZClasses i det att en användare med
"genom-webben"-skriptmöjligheter på en Zopewebbplats kan visa och tilldela
klassattribut till ZClasses, och möjligen låta dem göra olämpliga ändringar
till en ZClass-instanser.
<br>
En andra del rättar problem i ObjectManager-, PropertyManager- och
PropertySheet-klasserna relaterat till
<span class=en>"mutability"</span>-egenskapen av returvärden från metoder,
vilket kunde ses som ett säkerhetsproblem.
</dl>
Dessa rättelser inkluderas i zope 2.1.6-7 i Debian 2.2 (potato).
Vi rekommenderar att du uppgraderar ditt zopepaket omedelbart.
</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2001/dsa-043.data'
#use wml::debian::translation-check translation="1936841f002ca29a0bf824712cb9bb1072141914" mindelta="1"
|
