安全研究
安全漏洞
Zope DTMLDocuments和DTMLMethods可被远程修改
发布日期:2000-06-19
更新日期:2000-06-19
受影响系统:
Zope Zope 2.2 beta1
Zope Zope 2.1.x
不受影响系统:
Zope Zope 2.1.7
描述:
Zope 是一个可以运行在多种Unix平台上的web应用服务器。在它的某些版本中存在一个
安全问题,允许攻击者远程修改DTMLMethods 或者 DTMLDocuments 的内容。这个问题
是因为Zope的基类中缺乏正确的保护方式,导致不经过正确认证也可以远程修改DTMLMe
thods/DTMLDocuments 的内容或者传输DTML代码。
<* 来源: Brian Lloyd <Brian@digicool.com>
Zope maillist - Zope@zope.org
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
升级到Zope 2.1.7版,下载地址:
http://www.zope.org/Products/Zope/2.1.7/
Zope也提供了一个针对2.1.6版的补丁:
http://www.zope.org/Products/Zope/2.1.7/DT_String.diff
浏览次数:5849
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |