Boletines de Vulnerabilidades |
Ejecución de código arbitrari en Plone |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado |
Plone 2.5 <= 2.5.4 Plone 3.0 <= 3.0.2 |
Descripción |
|
|
Se ha encontrado una vulnerabilidad en Plone de la versión 2.5 a la 2.5.4 y de la versión 3.0 a la 3.0.2. La vulnerabilidad reside al no realizar una validación correcta de los datos. Un atacante remoto podría ejecutar código Python de forma arbitraria mediante datos de red que contengan objetos para los módulos statusmessages o linkintegrity. |
|
Solución |
|
|
Actualización de software Debian (DSA 1405-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch1.dsc http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch1.diff.gz http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/z/zope-cmfplone/plone-site_2.5.1-4etch1_all.deb http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch1_all.deb Debian (DSA 1405-2) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch2.dsc http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch2.diff.gz http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/z/zope-cmfplone/plone-site_2.5.1-4etch2_all.deb http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch2_all.deb Debian (DSA 1405-3) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1.orig.tar.gz http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch3.diff.gz http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch3.dsc Architecture independent http://security.debian.org/pool/updates/main/z/zope-cmfplone/plone-site_2.5.1-4etch3_all.deb http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.5.1-4etch3_all.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2007-5741 |
| BID | 26354 |
Recursos adicionales |
|
|
Debian Security Advisory (DSA 1405-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00183.html Debian Security Advisory (DSA 1405-2) http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00185.html Debian Security Advisory (DSA 1405-3) http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00220.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2007-11-14 |
| 1.1 | Aviso emitido por Debian (DSA 1405-3) | 2008-01-02 |