Plone Conference 2015
se organizează la București
Hotel Intercontinental

Pre-anunț pentru vulnerabilități de securitate:20151208

Remediere rapidă pentru a rezolva diferite vulnerabilități

Versiuni afectate: Toate versiunile de Plone suportate

Versiuni neafectate: Niciuna.

Natura vulnerabilității: Patch-ul va aborda divulgarea neautorizată a informațiilor utilizatorilor înregistrați.

Recomandări standard de securitate

  • Asigurați-vă că serviciul Zope/Plone rulează cu minim de privilegii. În mod ideal, serviciile de Zope si ZEO ar trebui să poată scrie numai in directoarele de log si data. Site-urile Plone instalate prin intermediul installer-elor Plone fac deja acest lucru.
  • Folosiți un sistem de detectare al intruziunilor care sa monitorizeze resursele cheie pentru a preveni modificări neautorizate
  • Monitorizați Zope-ul, cererile reverse-proxy și log-urile de sistem pentru detectarea activităților suspicioase
  • Asigurați-vă că sunteți la curent cu stirile de securitate folosind lista speciala Plone Security Announcements prin email, RSS și/sau Twitter.

Acestea sunt precauții standard care ar trebui implementate pe orice sistem de producție șî nu sunt legate de acest fix.

 

Î: Când va fi disponibil acest patch?

R: Echipa de securitate Plone va lansa patch-ul pe data de 08.12.2015 la 15:00 UTC.

 

Î: Ce implică aplicarea patch-ului?

R: Patc-urile sunt disponibile ca arhive .tar care pot fi despachetate în folderul "products" al unei instalări buildout, sau ca pachete Python care pot fi instalate prin editarea unui fișier de configurare a buildout-ului și rularea buildout-ului. Patching-ul este, în general, ușor și rapid de realizat.

 

Î: Cum sunt găsite aceste vulnerabilități?

R: Aceste vulnerabilități au fost găsite de useri, care le-au trimis pe lista de mail pentru securitate

 

Î: Site-ul meu are vizibilitate mare și importanță critică. Înțeleg că patch-ul este deja gata. Pot obține patch-ul înainte de data de lansare?

R: Nu. Patch-ul va fi pus la dispoziția tuturor administratorilor în același timp. Nu există excepții.

 

Î: Dacă patch-ul este gata, de ce nu este făcut public chiar acum?

R: Echipa de securitate încă testează patch-ul pentru o varietate largă de configurații și scenarii. Echipa are deasemenea grijă ca toată lumea să aibă timp sa plănuiască implementarea patch-ului. Unele organizații sunt nevoite să aplice patch-ul pe sute de site-uri și au nevoie de timp pentru a se coordona cu clienții.

 

Î: Cum se poate utiliza vulnerabilitatea?

R: Această informație nu va fi făcută publică decât dupa lansarea patch-ului.

 

Î: Poate fi site-ul meu Plone afectat de această vulnerabilitate? Cum aflu dacă site-ul a fost deja afectat? Cum pot confirma că patch-ul a fost instalat corect și că site-ul este protejat? 

R: Detaliile despre natura vulnerabilității vor fi făcute publice odată cu patch-ul

 

Î: Cum pot raporta alte potențiale vulnerabilități?

R: Vă rugăm să trimiteți un mail la security@plone.org și să nu discutați public eventualele probleme de securitate.


Î: Cum pot implementa patch-ul fără să afectez utilizatorii? 

R: Se poate rula buildout-ul fără să afectați utilizatorii. Puteți reporni o instanță multi-client de Plone fără a afecta utilizatorii; mai multe informații pe http://docs.plone.org/manage/deploying/processes.html  

 

Î: Cum pot primi ajutor la aplicarea patch-ului? 

R: Furnizorii de servicii Plone sunt listați la plone.com/providers și plone.org/support/network. Există deasemenea și suport gratuit online prin intermediul listelor de email și a canalelor de IRC

 

Î: Cine face parte din echipa de securitate Plone și cum este finanțată aceasta? 

R: Echipa de securitate Plone este formată din voluntari care sunt dezvoltatori experimentați, familiari cu codul de baza al Plone și cu vulnerabilitătile de securitate. Echipa nu are finanțare. Membrii ai comunității și/sau angajați ai acestora și-au pus la dispoziție timpul în interesul comunității Plone.

 

Știri Plone.ro
Site-ul Conferinței Plone București 2015 a fost lansat!
Conferința Plone București 2015 România
2015-03-18
Plone 5 demo portal
Portal demo pentru Plone 5
2014-10-15
Cel mai interesant poster ;-)
Plone.ro pe harta Plone.
2014-07-22
EEA Annotator - Inline comments Plone Add-on versiunea 2.0
Pachetul Plone "EEA Annotator - Inline comments" versiunea 2.0 a fost publicat pe PyPi si Plone.org
2014-02-21
eea.daviz screencasts available
Your feedback is needed!
2014-02-03
Știri Plone.ro - More…
Știri Plone.org
Plone urează bun venit celor 4 studenți aleși pentru Google Summer of Code 2016
Le urăm bun venit acestor studenți promițători ce exemplifică o mare diversitate geografică și de subiecte, și le dorim să aibă un Summer of Code minunat.
2016-04-24
Patch de securitate lansat: 20160419
Hotfix pentru remedierea unor diferite vulnerabilități
2016-04-19
Pre-anunț vulnerabilitate de securitate: 20160419
Hotfix pentru remedierea unor diferite vulnerabilității
2016-04-11
Plone selectat pentru Google Summer of Code 2016
Programul Google încurajează studenții dezvoltatori să participe la open source
2016-03-07
Plone Keynote la PyCon 2016
Cris Ewing va vorbi la PyCon în Portland, Oregon, SUA, 30 mai - 1 iunie , 2016
2016-02-20
Știri Plone.org - More…