Fecha del reporte: 24 de ago de 2010

Paquetes afectados: zope-ldapuserfolder

Más información: Jeremy James descubrió que en zope-ldapuserfolder, una extensión Zope usada para autentificar contra servidores LDAP, el código de autentificación no verifica la contraseña provista por el usuario emergency. Usuarios maliciosos que logren ingresar como el usuario emergency pueden usar esta fallar para ganar acceso administrativo a la instancia Zope especificando una contraseña arbitraria.

Para la distribución estable (lenny), este problema ha sido arreglado en la versión 2.9-1+lenny1.

El paquete ya no existe en la próxima distribución estable (squeeze) o en la distribución inestable.

Le recomendamos actualizar su paquete zope-ldapuserfolder.

Original (en inglés):