[Technik] [SECURITY] [DSA 1275-1] New zope2.7 packages
fix cross-site scripting flaw
Veit Schiele
veit.schiele at hostsharing.net
Tue Apr 3 09:55:40 CEST 2007
Noah Meyerhans schrieb:
> ------------------------------------------------------------------------
> Debian Security Advisory DSA-1275-1 security at debian.org
> http://www.debian.org/security/ Noah Meyerhans
> April 02, 2007
> ------------------------------------------------------------------------
>
> Package : zope2.7
> Vulnerability : cross-site scripting
> Problem type : remote
> Debian-specific: no
> CVE Id(s) : CVE-2007-0240
> BugTraq ID : 23084
> Debian Bug : 416500
>
> A cross-site scripting vulnerability in zope, a web application
> server, could allow an attacker to inject arbitrary HTML and/or
> JavaScript into the victim's web browser. This code would run within
> the security context of the web browser, potentially allowing the
> attacker to access private data such as authentication cookies, or to
> affect the rendering or behavior of zope web pages.
>
> For the stable distribution (sarge), this problem has been fixed in
> version 2.7.5-2sarge4
Für die aus den Sourcen erstellten Zope-Installationen wurde der Fix
bereits am 20. März 2007 bereitgestellt unter
/usr/local/share/zope/products/Hotfix_20070320.
Diejenigen von Euch, die Zope 2.8.x oder Zope 2.9.x verwenden, sollten
einen symbolischen Link im 'Products'-Verzeichnis Ihrer Zope-Instanz
erstellen und anschließend den Zope-Server neu starten, z.B.:
cd ~/zope/Products
ln -s /usr/local/share/zope/products/Hotfix_20070320
../bin/zopectl restart
Weitere Informationen zum Zope Hotfix-20070320 erhaltet Ihr unter
<http://www.zope.org/Products/Zope/Hotfix-2007-03-20/Hotfix-20070320/README.txt>
Im Namen der Python/Zope-Maintainer
Veit Schiele
More information about the Technik
mailing list