Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Vulnerabilidad en ZOPE

Última Actualización: 30 de Junio de 2.000 - Viernes

Artículo publicado en el boletín Una-Al-Día de Hispasec, el 25 de Junio de 2.000.
Publicado también en es.internet.com, el 29 de Junio de 2.000.

Las versiones anteriores a la 2.1.7 de Zope (o anteriores a la versión 2.2beta1) son vulnerables a un ataque que permite modificar el contenido de "DTMLDocuments" y "DTMLMethods", evitando la autentificación previa.

Zope es un servidor de aplicaciones web, basado en el lenguaje Python, constituido por objetos de diversa procedencia que interactúan entre sí. Su extrema flexibilidad y su bajo precio (se trata de una solución "open source") lo hacen especialmente atractivo para desarrollos intranet.

Las versiones previas a la 2.1.7 y a la 2.2beta2 son vulnerables a un ataque que permite que un agresor modifique estructuras básicas para el funcionamiento del sistema, sin que se le exija ninguna acreditación para ello. El problema está provocado por la inadecuada protección de un método en una de las clases base de Zope.

En el momento de escribir este texto, los creadores de Zope han descartado la versión 2.1.7 y publican un parche válido para todas las versiones 2.0, 2.1 y las recientes 2.2 alfa y beta. El motivo para ello es posibilitar que los administradores actualicen sus instalaciones Zope sin tener que desplegar una versión nueva, con los posibles problemas de integración que ello podría provocar.

Por otra parte, la inminente 2.2beta2 no será vulnerable.

Más información:



Python Zope ©2000 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS