[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Content Management System
- Date: Mon, 12 Mar 2001 19:38:35 +0100 (MET)
- From: daniel _at__ roedding.de (Daniel Roedding)
- Subject: Re: Content Management System
Lieber namenloser Mensch "MRethm _at__ aol.com",
> Wenn es dann doch ein CMS sein soll, würde ich zum Testen doch einmal ein Open Source Produkt wie ZOPE (www.zope.de bzw www.zope.org) empfehlen. Vorteil dabei ist, dass Zope kostenlos ist und auf den Websites schon einige vorgefertigte Lösungen angeboten werden. Zudem ist Zope recht einfach zu bedienen und schnell zu erlernen.
Und ein sicherheitstechnischer Flickenteppich:
---------------------------------------------------------------------------
From: win-sec-ssc _at__ cert.dfn.de
Subject: [Debian] Mehrere Schwachstellen in zope - DSA-043-1
To: win-sec-ssc _at__ cert.dfn.de
Date: Mon, 12 Mar 2001 16:20:40 +0100 (MET)
[...]
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgende Warnung des Debian Linux Teams ueber
Sicherheitsprobleme in "zope". Wir geben diese Informationen
unveraendert an Sie weiter.
Beschrieben werden folgende Schwachstellen:
1)
Die Methode "getRoles" von Benutzerobjekten, die in der
standardmaessigen UserFolder Implementation enthalten sind, liefert
einen veraenderbaren Phyton-Typ zurueck. Ein Angreifer mit
DTML-Kenntnissen koennten sich fuer die Dauer eines einzelnen Requests
zusaetzliche Rollen verschaffen, indem er die Rollen-Liste veraendert,
die im Rahmen der Request-Abarbeitung angelegt wird.
2)
Manchmal ist es moeglich, per URL auf Objekte zuzugreifen, die durch
eine Rolle geschuetzt werden, die der Nutzer zwar in anderen Kontexten
hat, nicht jedoch im Kontext dieser Objekte.
3)
In der Namensgebung in "zope" werden nicht-oeffentliche Objekte mit
speziellen Namen belegt (ein Unterstrich "_" zu Beginn des
Namens). Allerdings handhabt "zope" den Zugriff auf diese Objekte
nicht restriktiv genug, so dass ein Angreifer mit DTML-Kenntnissen
private Datenstrukturen ausspaehen und unter Umstaenden auch Methoden
aufrufen koennte, auf die er keinen Zugriff haben sollte.
4)
Eine Schwachstelle in den "ZClasses" koennte es einem Angreifer mit
der Moeglichkeit, Skripte ueber das Netz auszufuehren, erlauben,
Attribute von "ZClasses" anzusehen oder hinzuzufuegen.
5)
Schwachstellen in den ObjectManager-, PropertyManager- und
PropertySheet-Klassen erlauben die nachtraegliche Veraenderung von
Rueckgabewerten von Methoden.
Betroffen ist "zope" in der Distribution Debian 2.2 (potato), der
Fehler ist in Version "zope 2.1.6-7" behoben. Der Hersteller stellt
Patches zur Behebung der Sicherheitsluecken zur Verfuegung.
[...]
---------------------------------------------------------------------------
Hier wird mal wieder das Standardproblem deutlich: Gut gedacht, aber
schlecht implementiert. Findet man bei den ganzen "Supertoll-Programmen"
der letzten zwei Jahre immer häufiger. Java, Corba, XML, DTML, Boah-Ey,
alles Klasse - die elementaren Aspekte wie Systemsicherheit werden
vor lauter Featuritis und Objektwahn dummerweise vergessen...
Naja, jeder muß selbst wissen, womit er arbeiten möchte. Allen Betroffenen
wünsche ich frohes Updaten.
Schönen Abend und viele Grüße,
Daniel Rödding
--
Daniel Roedding phone: +49 5252 9838 0
daniel _at__ roedding.de fax: +49 5252 9838 20
Listeninformationen unter http://www.inetbib.de.