Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Zope versions 2.7.4+ à 2.8.1.
Résumé
Certaines fonctionnalités peuvent être exploitées par un utilisateur mal intentionné pour insérer des pages dynamiques quelconques et donc exécuter du code arbitraire.
Description
Zope est une solution de gestion de contenu.
L'accès d'un utilisateur quelconque aux fonctionnalités de Zope nommées « RestructuredText » lui permet d'injecter du code quelconque.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Zope http://www.zope.org/Products/Zope/Hotfix_2005-10-09/security_alert
- Bulletin de sécurité Debian DSA 910 du 24 novembre 2005 : http://www.debian.org/security/2005/dsa-910
- Bulletin de sécurité Gentoo GLSA-200510-20 du 25 octobre 2005 : http://www.gentoo.org/security/en/glsa/glsa-200510-20.xml
- Bulletin de sécurité SUSE SuSE-SR:2005-027 du 11 novembre 2005 : http://www.novell.com/linux/security/advisories/2005_27_sr.html
- Site internet de Zope : http://www.zope.org