Flere fjernudnytbare sårbarheder er opdaget i zope, en funktionsrig webapplikationsserver skrevet i python, der i værste fald kunne føre til udførelse af vilkårlig kode. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
På grund af en programmeringsfejl, blev en autorisationsmetode i komponenten StorageServer i ZEO ikke anvendt som en intern metode. Det gjorde det muligt for en ondsindet klient at omgå autentifikation, når den forbandt sig til en ZEO-server, ved blot at kalde denne autorisationsmetode.
ZEO-serveren begrænsede ikke callables, når den unpicklede data modtaget fra en ondsindet klient, hvilket kunne anvendes af en angriber til at udføre vilkårlig python-kode på serveren ved at sende visse exception-pickles. Det gjorde det også muligt for en angriber at importere ethvert importérbart modul, da ZEO importerer modulet indeholdende en callable angivet i en pickel til at teste for visse flag.
Opdateringen begrænset også antallet af nye objektid'er en klient kan bede om, til ethundrede, da det ville være muligt at forbruge store mængder ressourcer ved at bede om et stort bundt nye objektid'er. Der er ikke blevet tildelt en CVE-id hertil.
I den gamle stabile distribution (etch), er dette problem rettet i version 2.9.6-4etch2 of zope2.9.
I den stabile distribution (lenny), er dette problem rettet i version 2.10.6-1+lenny1 of zope2.10.
I distributionen testing (squeeze), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 2.10.9-1 of zope2.10.
Vi anbefaler at du opgraderer dine zope2.10/zope2.9-pakker.