int(2322)

Boletines de Vulnerabilidades


Falta de comprobaciones de seguridad en Plone

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Plone

Descripción

Se ha descubierto una vulnerabilidad en Plone. La vulnerabilidad reside en que tres clases internas no realizan comprobaciones de seguridad.

Un atacante local podría modificar cuadros de usuario mediante el parámetro "member_id".

Solución



Actualización de software

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.0.4-3sarge1.dsc
http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.0.4-3sarge1.diff.gz
http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.0.4.orig.tar.gz
Architecture independent
http://security.debian.org/pool/updates/main/z/zope-cmfplone/plone_2.0.4-3sarge1_all.deb
http://security.debian.org/pool/updates/main/z/zope-cmfplone/zope-cmfplone_2.0.4-3sarge1_all.deb

Identificadores estándar

Propiedad Valor
CVE CVE-2006-1711
BID

Recursos adicionales

Plone Hotfix 2006-04-10 1.0
http://plone.org/products/plonehotfix20060410/releases/1.0

Debian Security Advisory (DSA 1032-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00116.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2006-04-13

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT