Zope es un servidor de aplicaciones, escrito en lenguaje Python. Su extrema flexibilidad, características novedosas (base de datos de "objetos", fácil extensibilidad, componentes) y su bajo precio (se trata de una solución "open source") lo hacen especialmente atractivo para desarrollos web.
La vulnerabilidad se basa en un error al procesar scripts en Python que contengan "raise SystemExit" o determinadas llamadas a las funciones "encode" y "decode". Un atacante remoto con acceso no restringido al ZMI (Zope Management Interface) y a la edición de scripts Python podría efectuar un ataque de denegación de servicio.
Se recomienda aplicar el siguiente parche para las versiones desde la 2.7 a 2.11 disponible en:
http://www.zope.org/advisories/Hotfix_20080812.tar.gz
Laboratorio Hispasec
laboratorio@hispasec.com
laboratorio@hispasec.com
Más información:
Zope PythonScripts Processing Denial of Service Vulnerability
http://www.frsirt.com/english/advisories/2008/2418
0 comentarios:
Publicar un comentario en la entrada