1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
<define-tag moreinfo>Diese Ankündigung behandelt mehrere Verwundbarkeiten in
Zope, die angesprochen wurden.
<dl>
<dt>Hotfix 08_09_2000 <q>Zope security alert and hotfix product</q>
<dd>
Das Problem schließt die Voraussetzung ein, dass die getRoles Methode
eines Benutzer-Objekts, das in der Standard UserFolder Implementierung
enthalten ist, ein veränderlichen Python-Typ zurückliefert. Da das
veränderbare Objekt immer noch im Zusammenhang mit dem beständigen
User-Objekt steht, können Benutzer, die die Möglichkeit haben, DTML zu
editieren, sich selbst für die Dauer einer einzelnen Anfrage weitere
Rollen zuweisen, indem sie die Rollen-Liste als Teil der Anfragebearbeitung
verändern.
<dt>Hotfix 2000-10-02 <q>ZPublisher security update</q>
<dd>
Es ist manchmal möglich, allein durch eine URL Zugriff auf Objekte zu
erlangen, die von einer Rolle geschützt sind, die der Benutzer in einigen
Umgebungen hat, aber nicht im Zusammenhang mit dem Objekt, auf das
zugegriffen wird.
<dt>Hotfix 2000-10-11 <q>ObjectManager subscripting</q>
<dd>
Das Problem schließt die Voraussetzung ein, dass die <q>subscript
notation</q>, die dazu verwendet werden kann, auf Teile von ObjectManagers
(Verzeichnissen) zuzugreifen, die Werte, die sie zurückliefert, nicht
ordentlich auf tatsächliche Unterteile einschränkt. Das machte es möglich,
auf Namen zuzugreifen, die für DTML privat sein sollten (Objekte mit
Namen, die mit dem Unterstrich-Zeichen <q>_</q> beginnen). Dies könnte
DTML-Autoren erlauben, privat implementierte Daten-Strukturen zu sehen,
was in bestimmten Fällen das Aufrufen von Methoden ermöglicht, auf die sie
keinen Zugriff von DTML haben sollten.
<dt>Hotfix 2001-02-23 <q>Class attribute access</q>
<dd>
Das Problem hängt mit ZClasses zusammen, indem der Benutzer mit
through-the-web (über-das-web) Skripting-Möglichkeiten auf einer Zope-Site
Klassen-Attribute anzeigen und ZClasses zuweisen kann, was es Ihnen
ermöglicht, unpassende Änderungen in den ZClass-Instanzen vorzunehmen.<br />
Ein zweiter Teil behebt das Problem in den ObjectManager-,
PropertyManager- und PropertySheet-Klassen im Zusammenhang mit der
Veränderlichkeit von Methoden-Antwortwerten, was als ein
Sicherheitsproblem gesehen werden könnte.
</dl>
Diese Probleme wurden in zope 2.1.6-7 für Debian 2.2 (Potato) behoben. Wir
empfehlen Ihnen, Ihr zope-Paket unverzüglich zu aktualisieren.
</define-tag>
<define-tag description>Entfernter Angriff</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2001/dsa-043.data'
#use wml::debian::translation-check translation="1936841f002ca29a0bf824712cb9bb1072141914"
|
