Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Zope versions 2.7.4+ à 2.8.1.
Résumé
Certaines fonctionnalités peuvent être exploitées par un utilisateur mal intentionné pour insérer des pages dynamiques quelconques et donc exécuter du code arbitraire.
Description
Zope est une solution de gestion de contenu.
L'accès d'un utilisateur quelconque aux fonctionnalités de Zope nommées « RestructuredText » lui permet d'injecter du code quelconque.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site internet de Zope :
http://www.zope.org
- Bulletin de sécurité Zope du 09 octobre 2005 :
http://www.zope.org/Products/Zope/Hotfix_2005-10-09/security_alert
- Bulletin de sécurité Debian DSA 910 du 24 novembre 2005 :
http://www.debian.org/security/2005/dsa-910
- Bulletin de sécurité Gentoo GLSA-200510-20 du 25 octobre 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200510-20.xml
- Bulletin de sécurité SUSE SuSE-SR:2005-027 du 11 novembre 2005 :
http://www.novell.com/linux/security/advisories/2005_27_sr.html
- Référence CVE CAN-2005-3323 :
https://www.cve.org/CVERecord?id=CAN-2005-3323