S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 août 2009
N° CERTA-2009-AVI-319
Affaire suivie par: CERT-FR
le 10 août 2009

Avis du CERT-FR

Objet: Vulnérabilités dans Zope

Gestion du document

Référence CERTA-2009-AVI-319
Titre Vulnérabilités dans Zope
Date de la première version 10 août 2009
Date de la dernière version 10 août 2009
Source(s) Bulletin de sécurité Zope 002220 du 06 août 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Zope 2.x ;
  • Zope 3.x.

Résumé

Deux vulnérabilités dans Zope Object Database (ZODB) permettent à une personne malintentionnée de contourner la politique de sécurité et d'exécuter du code arbitraire à distance.

Description

Deux vulnérabilités ont été découvertes dans Zope Object Database (ZODB) :

  • une exécution de code arbitraire Python est possible dans les serveurs de stockage ZODB ZEO (CVE-2009-0668) ;
  • un contournement du système d'authentification est possible dans les serveurs de stockage ZODB ZEO (CVE-2009-0669).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 août 2009
    version initiale.