Zope Hotfix Hotfix-20070320
Document Actions
Zopeに脆弱性が発見された。これはHTTP GETで誤った型を使用していることに起因しており、攻撃者は権限昇格を得ることができる。この問題は2.10.2を含む全てのZopeで発現する。
Available downloads
For additional information about this project, please visit the
project page.
Release Notes
| Tested with | Zope 2.10.x, Zope 2.9.x, Zope 2.8.x |
|---|---|
| State | Final |
| License | ZPL |
| Released | 2007/03/19 16:00:00 GMT+9 |
このhotfixは権限設定をPOSTリクエストでのみ行えるようにして脆弱性を除去する。 この脆弱性はZope 2.8, 2.9, 2.10 の各ブランチで今後リリースされるバージョンでは修正される。
このパッチはセキュリティーメソッドへの直接リクエストにのみ作用する。このため任意の3rd-partyコードからこれらのメソッドが呼び出される場合の対策にはならないので注意すること。
External Editorの設定