Debian DSA-2234-1:zodb - 数个漏洞
high Nessus 插件 ID 53861
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在用于使用 ZODB 的一组工具 python-zodb 中发现数个远程漏洞,其可导致在最坏的情况下执行任意代码。通用漏洞和暴露计划识别以下问题:- CVE-2009-0668 unpickle 来自恶意客户端的数据时,ZEO 服务器未限制可调用对象,攻击者可利用此问题,通过发送某些异常 pickle 在服务器上执行任意 Python 代码。
这还允许攻击者在 ZEO 导入包含为测试特定标记而在 pickle 中指定的可调用对象的模块时导入任何可导入的模块。
- CVE-2009-0669 由于一个编程错误,ZEO 的 StorageServer 组件中有一个授权方法未作为内部方法使用。这允许恶意客户端在连接到 ZEO 服务器时只需调用此授权方法便可绕过认证。
此更新也将客户端可请求的新对象 ID 数量限制为 100,因为其有可能会请求大批次的新对象 ID 从而消耗大量资源。未为此问题分配 CVE ID。
解决方案
升级 zodb 程序包。对于旧稳定发行版本 (lenny),已在版本 1:3.6.0-2+lenny3 中修复了此问题。
稳定发行版本 (squeeze) 不受影响,已在初始发布前修复了此问题。
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=540465
https://security-tracker.debian.org/tracker/CVE-2009-0668
插件详情
严重性: High
ID: 53861
文件名: debian_DSA-2234.nasl
版本: 1.10
类型: local
代理: unix
发布时间: 2011/5/11
最近更新时间: 2021/1/4
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:zodb, cpe:/o:debian:debian_linux:5.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2011/5/10
参考资料信息
CVE: CVE-2009-0668, CVE-2009-0669
BID: 35987