aboutsummaryrefslogtreecommitdiffstats
path: root/russian/security/2001/dsa-043.wml
blob: d0584877579b10cfce498c84b3116e8eb79f8307 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

#use wml::debian::translation-check translation="1936841f002ca29a0bf824712cb9bb1072141914" maintainer="Lev Lamberov"
<define-tag moreinfo>Данная рекомендация покрывает несколько уязвимостей в Zope,
которые были решены.

<dl>
<dt>Исправление 08_09_2000 "Предупреждение безопасности Zope и исправление"
<dd>
    Эта проблема касается того факта, что метод getRoles пользовательских объектов,
    содержащихся в реализации UserFolder по умолчанию, возвращает изменяемый
    тип языка Python.  Поскольку изменяемый объект всё ещё ассоциируется с
    постоянным объектом User, пользователи, способные редактировать DTML,
    могут выдать себе дополнительные роли на время
    одного запроса, изменяя список ролей в качестве части обработки
    запроса.

<dt>Исправление 2000-10-02 "Обновление безопасности ZPublisher"
<dd>
    Иногда можно получить доступ (только через URL) к объектам,
    защищённым ролью, которую пользователь имеет в некотором контексте, но не в
    контексте объекта, к которому выполняется доступ.

<dt>Hotfix 2000-10-11 "Индексация ObjectManager"
<dd>
    Эта проблема касается того факта, что 'нотация индекса', которая
    может использоваться для получения доступа к ObjectManagers (Folders), неправильно
    ограничивает возвращаемые значения только фактическими подпунктами.  Это
    позволяет получать доступ к именам, которые должны быть закрыты из DTML
    (объекты с именами, начинающимися с символа подчёркивания, '_').
    Это позволяет авторам DTML просматривать закрытую реализацию структур
    данных, а в некоторых случаях вызывать методы, к которым они не
    должны иметь доступа из DTML.

<dt>Hotfix 2001-02-23 "Доступ к атрибуту класса"
<dd>
    Эта проблема связана с ZClass, в которых пользователь, способный через веб
    выполнить скриптинг на сайте Zope, может просматривать и присваивать ZClass
    атрибуты класса, что может позволить ему внести недопустимые изменения
    в образцы ZClass.
    <br>
    Вторая часть исправляет проблемы в классах ObjectManager, PropertyManager
    и PropertySheet, связанные с изменением возвращаемых методом
    значений, что считается проблемой безопасности.
</dl>

Эти исправления включены в пакет zope версии 2.1.6-7 для Debian 2.2 (potato). Рекомендуется
как можно скорее обновить пакет zope.
</define-tag>
<define-tag description>удалённая уязвимость</define-tag>

# do not modify the following line
#include '$(ENGLISHDIR)/security/2001/dsa-043.data'

© 2014-2024 Faster IT GmbH | imprint | privacy policy