Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Zope 2.x ;
- Zope 3.x.
Résumé
Deux vulnérabilités dans Zope Object Database (ZODB) permettent à une personne malintentionnée de contourner la politique de sécurité et d'exécuter du code arbitraire à distance.
Description
Deux vulnérabilités ont été découvertes dans Zope Object Database (ZODB) :
- une exécution de code arbitraire Python est possible dans les serveurs de stockage ZODB ZEO (CVE-2009-0668) ;
- un contournement du système d'authentification est possible dans les serveurs de stockage ZODB ZEO (CVE-2009-0669).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Zope 002220 du 06 août 2009 http://mail.zope.org/pipermail/zope-annouce/2009-August/002220.html
- Référence CVE CVE-2009-0668 https://www.cve.org/CVERecord?id=CVE-2009-0668
- Référence CVE CVE-2009-0669 https://www.cve.org/CVERecord?id=CVE-2009-0669
