1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
|
#use wml::debian::translation-check translation="1936841f002ca29a0bf824712cb9bb1072141914" maintainer="Lev Lamberov"
<define-tag moreinfo>Данная рекомендация покрывает несколько уязвимостей в Zope,
которые были решены.
<dl>
<dt>Исправление 08_09_2000 "Предупреждение безопасности Zope и исправление"
<dd>
Эта проблема касается того факта, что метод getRoles пользовательских объектов,
содержащихся в реализации UserFolder по умолчанию, возвращает изменяемый
тип языка Python. Поскольку изменяемый объект всё ещё ассоциируется с
постоянным объектом User, пользователи, способные редактировать DTML,
могут выдать себе дополнительные роли на время
одного запроса, изменяя список ролей в качестве части обработки
запроса.
<dt>Исправление 2000-10-02 "Обновление безопасности ZPublisher"
<dd>
Иногда можно получить доступ (только через URL) к объектам,
защищённым ролью, которую пользователь имеет в некотором контексте, но не в
контексте объекта, к которому выполняется доступ.
<dt>Hotfix 2000-10-11 "Индексация ObjectManager"
<dd>
Эта проблема касается того факта, что 'нотация индекса', которая
может использоваться для получения доступа к ObjectManagers (Folders), неправильно
ограничивает возвращаемые значения только фактическими подпунктами. Это
позволяет получать доступ к именам, которые должны быть закрыты из DTML
(объекты с именами, начинающимися с символа подчёркивания, '_').
Это позволяет авторам DTML просматривать закрытую реализацию структур
данных, а в некоторых случаях вызывать методы, к которым они не
должны иметь доступа из DTML.
<dt>Hotfix 2001-02-23 "Доступ к атрибуту класса"
<dd>
Эта проблема связана с ZClass, в которых пользователь, способный через веб
выполнить скриптинг на сайте Zope, может просматривать и присваивать ZClass
атрибуты класса, что может позволить ему внести недопустимые изменения
в образцы ZClass.
<br>
Вторая часть исправляет проблемы в классах ObjectManager, PropertyManager
и PropertySheet, связанные с изменением возвращаемых методом
значений, что считается проблемой безопасности.
</dl>
Эти исправления включены в пакет zope версии 2.1.6-7 для Debian 2.2 (potato). Рекомендуется
как можно скорее обновить пакет zope.
</define-tag>
<define-tag description>удалённая уязвимость</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2001/dsa-043.data'
|