Denna bulletin täcker flera sårbarheter i Zope vilka har
rättats.
Hotfix 08_09_2000 "Zope security alert and hotfix product"
Detta problem inbegriper det faktum att GetRoles-metoden för användarobjekt
i den förvalda UserFolder-implementationen returnerar en Pythontyp som är
"mutable".
På grund av att detta objekt fortfarande är associerat med det persistenta
User-objektet, kan användare med rätt att redigera DTML-filer ge sig själv
ytterligare roller under ett anrop genom att mutera rolllistan som en
del av hanteringen av anropet.
Hotfix 2000-10-02 "ZPublisher security update"
Det är ibland möjligt att nå objekt skyddade av en roll som en användare
har i någon kontext (enbart via URL), men inte i kontexten för det objekt
som hämtas.
Hotfix 2000-10-11 "ObjectManager subscripting"
Problemet inbegriper det faktum att den subskript-notation som kan användas
för att nå åtkomstposter i ObjectManagers (mappar) inte korrekt begränsar
värden till bara själva underposterna.
Detta gjorde det möjligt att nå namn som skulle vara privata från DTML
(objekt med namn som börjar med understreck, "_").
Detta kunde göra så att DTML-författare kunde se privata
implementationsdatastrukturer och ibland anropa metoder de inte borde nå
från DTML.
Hotfix 2001-02-23 "Class attribute access"
Problemet är relaterat till ZClasses i det att en användare med
"genom-webben"-skriptmöjligheter på en Zopewebbplats kan visa och tilldela
klassattribut till ZClasses, och möjligen låta dem göra olämpliga ändringar
till en ZClass-instanser.
En andra del rättar problem i ObjectManager-, PropertyManager- och
PropertySheet-klasserna relaterat till
"mutability"-egenskapen av returvärden från metoder,
vilket kunde ses som ett säkerhetsproblem.
Dessa rättelser inkluderas i zope 2.1.6-7 i Debian 2.2 (potato).
Vi rekommenderar att du uppgraderar ditt zopepaket omedelbart.
