aboutsummaryrefslogtreecommitdiffstats
path: root/russian/security/2011/dsa-2234.wml
blob: d8374264294635b32286cc308fe75816d469acb7 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" maintainer="Lev Lamberov"
<define-tag description>несколько уязвимостей</define-tag>
<define-tag moreinfo>
<p>В python-zodb, наборе инструментов для использования ZODB, было обнаружено
несколько удалённых уязвимостей, которые в самом худшем случае могут приводить
к выполнению произвольного кода. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0668">CVE-2009-0668</a>

   <p>ZEO-сервер не ограничивает вызываемые объекты при сериализации данных,
   полученных от злоумышленника, что может использоваться последним для выполнения
   произвольного кода на языке Python на сервере путём отправки определённых исключений. Также
   это позволяет злоумышленнику импортировать любой модуль, поскольку ZEO импортирует
   модуль, содержащий вызываемый объект, указанный в сериализации для проверки определённого флага.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0669">CVE-2009-0669</a>

   <p>Из-за ошибки программирования авторизованный метод в компоненте StorageServer
   из ZEO не используется в качестве внутреннего метода. Это позволяет злоумышленнику
   обходить аутентификацию при подключении к ZEO-серверу, просто вызвав
   указанный метод авторизации.</p></li>

</ul>

<p>Кроме того, данное обновление ограничивает число новых идентификаторов объектов, которые
может запросить клиент, 100 идентификаторами, поскольку в противном случае можно вызвать потребление
чрезмерного количества ресурсов путём запроса большого набора новых идентификаторов объектов. Этой
уязвимости идентификатор CVE назначен не был.</p>

<p>В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в
версии 1:3.6.0-2+lenny3.</p>

<p>Стабильный выпуск (squeeze) не подвержен указанным проблемам, они были исправлены
до первого выпуска.</p>

<p>В нестабильном выпуске (sid) эта проблема была исправлена в
версии 1:3.8.2-1.</p>

<p>Рекомендуется обновить пакеты zodb.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2234.data"
# $Id$

© 2014-2024 Faster IT GmbH | imprint | privacy policy