28/08/2008

Pilot Systems complète un correctif dans les PythonScripts

Un problème de sécurité affecte toutes les versions de Zope jusqu'à la 2.11.2, permettant de faire planter une instance Zope dès lors que l'on peut y créer un PythonScript.

L'utilisation de certaines fonctions dans les PythonScripts permet de provoquer un denial-of-service dans n'importe quel site Zope, jusqu'à la version 2.11.2. Ne vous inquiétez pas trop vite : vous n'êtes pas nécessairement concerné par ce problème, étant donné que par défaut, seuls les administrateurs d'un site peuvent créer de tels PythonScripts. Si votre site web utilise une technologie basée sur Zope, vos visiteurs ne pourront donc pas affecter son bon fonctionnement.

En revanche, si vous êtes, comme nous, hébergeurs de nombreux sites Zope, la suite peut vous intéresser.

Un correctif a été proposé par Andreas Jung. Notre équipe a amélioré ce correctif et le met aujourd'hui à disposition, afin d'assurer une compatibilité la plus large possible, en particulier avec les anciennes versions de Zope. Les deux correctifs se présentent sous la forme d'un produit Zope, qu'il suffit d'installer dans chacune de vos instances Zope pour les « immuniser » contre le bug en question.

Pilot Systems assure la maintenance de la plateforme Objectis, qui permet à tous d'ouvrir gratuitement leur propre site Zope et/ou Plone. Objectis compte plus de 15 000 sites web, dont quelques milliers reposent encore sur des versions de Zope que le correctif original ne permettait pas de réparer. Si vous aussi, vous hébergez des sites que vous ne souhaitez ou pouvez pas mettre à jour vers les versions de Zope récentes, alors ce patch est fait pour vous !

Mots clés