Plone Conference 2015
se organizează la București
Hotel Intercontinental

Vulnerabilitate de securitate: 20150910 - vectori multipli

Patch-uri pentru Zope și Plone pentru o varietate de probleme

Versiuni afectate: Toate versiunile actuale Plone.
Versiuni neafectate: Nici una

Natura vulnerabilității: Permite crearea de membri de către utilizatori anonimi pe site-uri unde înregistrarea automată este activată, permițând bypass-ul codului CAPTCHA și a protecțiilor similare împotriva atacurilor scriptate.

Patch-ul poate fi adăugat la buildouts ca Products.PloneHotfix20150910 (disponibil de la PyPI) sau descărcat de pe Plone.org

Patch-ul este compatibil cu toate versiunile Plone suportate (adică Plone 3 , Plone 4, Plone 5). Ar putea funcționa și pe versiunile mai vechi de Plone, dar acestea nu mai primesc suport așa că nu au fost testate.

Această remediere acoperă vulnerabilități întinse pe mai multe versiuni Plone.

Măsuri immediate pe care ar trebui să le luați

Dezactivați auto-înregistrarea până când aplicați patch-ul.

Instalare

Instrucțiuni complete de instalare sunt disponibile pe pagina de lansare a HotFix-ului.

Ajutor suplimentar

În cazul în care nu aveți administratori de server interni sau a unui contract de servicii de support pentru site-ul vostru puteți găsi companii de consultanță la plone.com/providers și plone.org/support/network .

Există de asemenea suport gratuit disponibil on-line, prin intermediul listelor de mail Plone și canalelor IRC Plone.

Mulțumiri

Echipa de securitate Plone este recunoscătoare lui Maurits van Rees de la Zest Software, care a raportat vulnerabilitatea și a contribuit la patch-ul inițial.


Întrebări și răspunsuri

Î. Ce implică aplicarea patch-ului ?

R. Patch-urile sunt puse la dispoziție sub formă de arhivă tip tarball care pot fi dezarhivate în folderul “products” a unei instalări buildout și pachete Python ce pot fi instalate prin editarea fișierului de configurare buildout și rularea de buildout. Patching-ul este în general ușor și rapid de realizat.

Î. Cum a fost găsită această vulnerabilitate ?

R. Majoritatea problemelor s-au constatat, ca parte a auditurilor efectuate de echipa de securitate Plone. Un subset a fost raportat de către utilizatori. Mai multe detalii vor fi disponibile la lansarea patch-ului.

Î. Site-ul meu este foarte vizibil și esențial misiunii. Am auzit că patch-ul a fost deja dezvoltat. Pot obține patch-ul înaintea lansării ?

R. Patch-ul a fost pus la dispoziție la data anunțului. Patch-urile Plone sunt întotdeauna puse la dispoziția tuturor în același timp. Nu sunt excepții.

Întrebări generale cu privire la acest anunț, proceduri de aplicare a patch-ului și disponibilitatea de sprijin pot fi adresate pe forumurile de suport Plone. Dacă aveți întrebări specifice cu privire la această vulnerabilitate, contactați echipa Plone de securitate

Pentru a raporta probleme potențiale legate de securitate, trimiteți un e-mail la security@plone.org. Suntem întotdeauna fericiți să dăm credit persoanelor fizice și companiilor care fac prezentări de informații responsabile.

Informații pentru Vulnerability Database Maintainers

Am aplicat deja pentru numere CVE pentru aceste probleme. Informații suplimentare cu privire la vulnerabilitățile individuale (inclusiv scoruri CVSS, identificatori CWE și rezumate) sunt disponibile în lista completă de vulnerabilități

Știri Plone.ro
Site-ul Conferinței Plone București 2015 a fost lansat!
Conferința Plone București 2015 România
2015-03-18
Plone 5 demo portal
Portal demo pentru Plone 5
2014-10-15
Cel mai interesant poster ;-)
Plone.ro pe harta Plone.
2014-07-22
EEA Annotator - Inline comments Plone Add-on versiunea 2.0
Pachetul Plone "EEA Annotator - Inline comments" versiunea 2.0 a fost publicat pe PyPi si Plone.org
2014-02-21
eea.daviz screencasts available
Your feedback is needed!
2014-02-03
Știri Plone.ro - More…
Știri Plone.org
Plone urează bun venit celor 4 studenți aleși pentru Google Summer of Code 2016
Le urăm bun venit acestor studenți promițători ce exemplifică o mare diversitate geografică și de subiecte, și le dorim să aibă un Summer of Code minunat.
2016-04-24
Patch de securitate lansat: 20160419
Hotfix pentru remedierea unor diferite vulnerabilități
2016-04-19
Pre-anunț vulnerabilitate de securitate: 20160419
Hotfix pentru remedierea unor diferite vulnerabilității
2016-04-11
Plone selectat pentru Google Summer of Code 2016
Programul Google încurajează studenții dezvoltatori să participe la open source
2016-03-07
Plone Keynote la PyCon 2016
Cris Ewing va vorbi la PyCon în Portland, Oregon, SUA, 30 mai - 1 iunie , 2016
2016-02-20
Știri Plone.org - More…