La comunidad Zope anuncia la disponibilidad de un parche de seguridad
para las últimas versiones de su servidor de aplicaciones ZOPE.
Zope es un servidor de aplicaciones, escrito en lenguaje Python.
Su extrema flexibilidad, características novedosas (base de datos de
«objetos», fácil extensibilidad, componentes) y su bajo precio (se trata
de una solución «open source») lo hacen especialmente atractivo para
desarrollos web.
Las versiones 2.7.0 y 2.7.1 de ZOPE contienen una vulnerabilidad que
permite que un atacante remoto, con privilegios suficientes como para
instalar o alterar objetos ZPT (Zope Page Templates), pueda violar
ciertas condiciones de seguridad.
Para poder explotar esta vulnerabilidad es necesario que el atacante
tenga privilegios de escritura en el servidor ZOPE, y que pueda crear o
modificar objetos ZPT, lo que reduce el impacto real de la
vulnerabilidad.
La versión 2.7.2, de publicación inminente (está en modo «cadidate
release»), no será susceptible a este problema.
Se recomienda a todos los administradores de servidores ZOPE 2.7.* que
instalen este parche, sobre todo si disponen de usuarios no confiables y
con permiso de escritura.
Es de destacar que la comunidad ZOPE ha publicado dos actualizaciones,
en días consecutivos. La primera de ellas es incorrecta y debe
ignorarse. Debe aplicarse, exclusivamente, la segunda versión del
parche.
jcea@hispasec.com
Más información:
Hotfix 2004-07-14 Alert
http://zope.org/Products/Zope/Hotfix_2004-07-14/security_alert
Parche 2004-07-14
http://zope.org/Products/Zope/Hotfix_2004-07-14/Zope%202.7.0%20-%202.7.1
Hotfix 2004-07-13 Alert
http://zope.org/Products/Zope/Hotfix_2004-07-13/security_alert
Zope Hotfix Release, 2004/07/13
http://www.zope.org/Products/Zope/Hotfix_2004-07-13/README.txt
Parche 2004-7-13
http://zope.org/Products/Zope/Hotfix_2004-07-13/Zope%202.7.0%20-%202.7.1
The Web Site for the Zope Community
http://www.zope.org/
