正文

Zope CSV_Table 远程文件信息泄露漏洞

admin
admin V管理员 /0 评论 /7 阅读
0103
此篇文章发布距今已超过1284天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Zope CSV_Table 远程文件信息泄露漏洞

  • CNNVD编号:CNNVD-200609-328
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2006-4684
  • 漏洞类型: 输入验证
  • 发布时间: 2006-09-19
  • 威胁类型: 远程
  • 更新时间: 2006-09-21
  • 厂        商: zope
  • 漏洞来源: Debian Advisory

漏洞简介

Zope是Zope公司的一款开源的基于Python的Web应用服务器,它提供了多个不同类型的Web框架,可实现Web应用的快速开发和部署。

Zope在处理网页标记时存在漏洞,远程攻击者可能利用此漏洞非授权访问文件。

Zope没有在包含有ReST标记的Web页面中禁用csv_table指令,导致泄漏Zope服务器可读的文件。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://www.debian.org/security/2006/dsa-1176

参考网址

来源: www.zope.org

链接:http://www.zope.org/Products/Zope/Hotfix-2006-08-21/Hotfix-20060821/README.txt

来源: VUPEN

名称: ADV-2006-3653

链接:http://www.frsirt.com/english/advisories/2006/3653

来源: DEBIAN

名称: DSA-1176

链接:http://www.debian.org/security/2006/dsa-1176

来源: SECUNIA

名称: 21953

链接:http://secunia.com/advisories/21953

来源: SECUNIA

名称: 21947

链接:http://secunia.com/advisories/21947

来源: MLIST

名称: [Zope-Annce] 20060821 Hotfix for Further reST Integration Issue

链接:http://mail.zope.org/pipermail/zope-announce/2006-August/002005.html

来源: BID

名称: 20022

链接:http://www.securityfocus.com/bid/20022

受影响实体

  • Zope Zope:2.8.7  
    <!--
    2000-1-1
    -->
  • Zope Zope:2.8.8  
    <!--
    2000-1-1
    -->
  • Zope Zope:2.8.6  
    <!--
    2000-1-1
    -->
  • Zope Zope:2.8.5  
    <!--
    2000-1-1
    -->
  • Zope Zope:2.8.4  
    <!--
    2000-1-1
    -->

补丁

    暂无