Actualización de seguridad para ZOPELa comunidad Zope anuncia la disponibilidad de un parche de seguridad para las últimas versiones de su servidor de aplicaciones ZOPE.
Zope es un servidor de aplicaciones, escrito en lenguaje Python. Su extrema flexibilidad, características novedosas (base de datos de "objetos", fácil extensibilidad, componentes) y su bajo precio (se trata de una solución "open source") lo hacen especialmente atractivo para desarrollos web.
Las versiones 2.7.0 y 2.7.1 de ZOPE contienen una vulnerabilidad que permite que un atacante remoto, con privilegios suficientes como para instalar o alterar objetos ZPT (Zope Page Templates), pueda violar ciertas condiciones de seguridad.
Para poder explotar esta vulnerabilidad es necesario que el atacante tenga privilegios de escritura en el servidor ZOPE, y que pueda crear o modificar objetos ZPT, lo que reduce el impacto real de la vulnerabilidad.
La versión 2.7.2, de publicación inminente (está en modo "cadidate release"), no será susceptible a este problema.
Se recomienda a todos los administradores de servidores ZOPE 2.7.* que instalen este parche, sobre todo si disponen de usuarios no confiables y con permiso de escritura.
Es de destacar que la comunidad ZOPE ha publicado dos actualizaciones, en días consecutivos. La primera de ellas es incorrecta y debe ignorarse. Debe aplicarse, exclusivamente, la segunda versión del parche.
Más Información:
Hotfix 2004-07-14 Alert
http://zope.org/Products/Zope/Hotfix_2004-07-14/security_alertParche 2004-07-14
http://zope.org/Products/Zope/Hotfix_2004-07-14/Zope%202.7.0%20-%202.7.1Hotfix 2004-07-13 Alert
http://zope.org/Products/Zope/Hotfix_2004-07-13/security_alertZope Hotfix Release, 2004/07/13
http://www.zope.org/Products/Zope/Hotfix_2004-07-13/README.txtParche 2004-7-13
http://zope.org/Products/Zope/Hotfix_2004-07-13/Zope%202.7.0%20-%202.7.1The Web Site for the Zope Community
http://www.zope.org/