http://zope.org/Members/ajung/security_advisory

Zope 2.7.x，およびベータリリース中の2.8において，ZPT,DTMLで特定のコードを書くとZopeが落ちてしまう，という不具合。owaさんによって日本のZope情報にいちはやく登録され，また中神さん主催のZope-memoメーリングリストにもリポートが流れました。

向こうの開発MLに報告されていた例を見ると，「うっかり書いてしまうタイプ」のコードではないようです。ZMIを不特定多数に解放している場合，さらに悪意のある作業者がZMIにログインできる場合には要注意。一般的なZopeサイトではほぼ問題ないでしょう:-)。

ま，転ばぬ先の杖，ということで，etc/zope.confにコメントアウトされている

security-policy-implementation python

という設定を生かす('#'を除去する)のがいいでしょうか。ただし，設定変更のリスクとしてZopeの実行速度が多少遅くなるはずです。

Zope 2.7系で加わった，応答のエンコードをダイナミックに変換する仕組みまわりが影響している模様。DTMLでも，あれをああしてああすればZopeを落とすコードは書けるはずだけど，まあ不毛なので試してみません:-)。

Zopeの多くの部分はPythonでかかれているわけですが，一部Cでかかれた部分があって，今回のようにNull Pointer Accessを引き起こす可能性がある。また，バッファオーバーフローに関しても「可能性」としては皆無とはいえない。

一方で，問題に対する対処法がすぐに公開される安心感というのはある。Zopeはこれまでもセキュリティにフォーカスしてきましたので，その方向性は現在も堅持されているということでしょう。