安全研究

安全漏洞
Zope DTMLDocuments和DTMLMethods可被远程修改

发布日期:2000-06-19
更新日期:2000-06-19

受影响系统:

Zope Zope 2.2 beta1
Zope Zope 2.1.x
不受影响系统:

Zope Zope 2.1.7
描述:

Zope 是一个可以运行在多种Unix平台上的web应用服务器。在它的某些版本中存在一个
安全问题,允许攻击者远程修改DTMLMethods 或者 DTMLDocuments 的内容。这个问题
是因为Zope的基类中缺乏正确的保护方式,导致不经过正确认证也可以远程修改DTMLMe
thods/DTMLDocuments 的内容或者传输DTML代码。

<* 来源: Brian Lloyd <Brian@digicool.com>
         Zope maillist  -  Zope@zope.org
*>




测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!




建议:
升级到Zope 2.1.7版,下载地址:

http://www.zope.org/Products/Zope/2.1.7/

Zope也提供了一个针对2.1.6版的补丁:

http://www.zope.org/Products/Zope/2.1.7/DT_String.diff


浏览次数:5849
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障