CH azonosító
CH-4974Angol cím
Zope PluggableAuthService User Login Name Change Security IssueFelfedezés dátuma
2011.05.30.Súlyosság
AlacsonyÖsszefoglaló
A Zope olyan biztonsági hibáját jelentették, amelyet kihasználva a rosszindulatú felhasználók bizonyos adatokat manipulálhatnak és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
A hiba oka, hogy PluggableAuthService (PAS) keretrendszerben található ZODBUserManager osztály (ZODBUserManager.py) “updateUser()” nevű eljárása nem ellenőrzi egy bejelentkezési név egyediségét. Ezt kihasználva egy felhasználót ki lehet zárni, ha a támadó megváltoztatja a bejelentkezési nevét a sértett bejelentkezési nevére.
A hibát a 2.11.8. verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatHivatkozások
SECUNIA 44764
Gyártói referencia: mail.zope.org