今野(おわ)です
JZUG の田原さんが Zope のセキュリティパッチをこしらえてくれました
今 RPM アップデート作成する時間をさけないので転送します
--
owa@xxxxxxxxxxxxx
--------------------- ここから ---------------------------
Begin forwarded message:
Date: Thu, 03 Oct 2002 18:47:07 +0900
From: Yusei Tahara <tahara@xxxxxxxxxxxxx>
To: zope-users@xxxxxxxxxx
Subject: [zope-users:3279] HTTPResponse のパッチ
こんにちは。田原です。
昨日、Zope のエラー画面にあるトレースバックからローカルファイルシステム
の情報(Zope のインストールされている場所)が漏洩するというセキュリティ
ホールのアナウンスがありました。(詳しい内容は下記の内容を読んでください)
Zope2.6 系ではすでに解決済みのようですが、安定版の Zope2.5.1 を使いた
いので、この漏洩を防ぐパッチを書きましたので、必要な方は自己責任で使っ
てください。
以下のファイルにこのパッチを当てます。
$INSTANCE_HOME/lib/python/ZPublisher/HTTPResponse.py
===File /tmp/httpresponse.diff==============================
392a393
> return ''
565c566
< self.setHeader('bobo-exception-file', ef)
---
> #self.setHeader('bobo-exception-file', ef)
============================================================
注意 : 以下の文で
> 4. Solution:
> Upgrade to 2.6.0b1 (Development) if possible.
となっていますが、ベータ版の Zope2.6 では、プロパティで日本語が使えま
せん。リリース前にどうにかしないといけないのですが、現在はそうなってい
ますので、2.6 系に移行する方はお気を付けください。
========================== 以下、転載 ==================================
Begin forwarded message:
Date: Tue, 1 Oct 2002 09:57:27 -0400
From: Rossen Raykov <Rossen.Raykov@xxxxxxxxxxxxxxxx>
To: "BugTraq (E-mail)" <bugtraq@xxxxxxxxxxxxxxxxx>
Subject: Insecure XML-RPC handling in Zope reveals the distribution physic al location.
Zope versions pre 2.5.1b2 do not handle correct some XML-RPC request.
1. Summary:
Zope (www.zope.org) will reveal the complete physical location where the
server and its components are installed if it receives "incorrect" XML-RPC
requests.
In some cases it will reveal also information about the serves in the
protected LAN (10.x.x.x for example) on which current server is relaying.
2. Details:
A request like the quoted below will cause Zope to produce stack traces in
the response that will reveal the information mentioned above.
See http://collector.zope.org/Zope/359 for more details.
Ironically the quoted request was an example how to use XML-RPC.
Note that starting Zope without -D option won't stop the exposure.
telnet localhost 8080
POST /Documentation/comp_tut HTTP/1.0
Host: localhost
Content-Type: text/xml
Content-length: 93
<?xml version="1.0"?>
<methodCall>
<methodName>objectIds</methodName>
<params/>
</methodCall>
3. Vulnerable versions:
Zope 2.3.2 - Yes (earlier versions ware not tested)
Zope 2.4.1 (Stable) - Yes
Zope 2.5.0 (Stable) - Yes
Zope 2.5.1 (Stable) - Yes
Zope 2.5.1b2 (Development) - Not
Zope 2.6.0b1 (Development) - Not
4. Solution:
Upgrade to 2.6.0b1 (Development) if possible.
5. Vendor information
Notification was send to the vendor on March 22, 2002
The issue was officially resolved on Aug 29, 2002 but only in v2.6.0.
Regards,
Rossen Raykov
---
Rossen Raykov
COGNICASE U.S.A. Inc.
(908) 860-1100 Ext. 1140
Rossen.Raykov@xxxxxxxxxxxxxxxx
_______________________________________________
zope-users mailing list *Memberのみ投稿可*
zope-users@xxxxxxxxxx
http://ml.zope.jp/mailman/listinfo/zope-users
--------------------- ここまで ---------------------------