Patch de securitate lansat: 20170117

Numerele CVE: CVE-2016-7147 și încă unul nelansat momentan

Versiuni afectate:Toate versiunile Plone susținute (4.3.11 și orice versiune 4.x mai veche, 5.0.6 și orice versiune 5.x mai veche). Versiunile anterioare ar putea fi afectate, dar nu au fost testate complet.

Versiuni neafectate: Nici una

Natura vulnerabilității: patch-ul va aborda o vulnerabilitate XSS reflectată în Zope și o vulnerabilitate de evadare parțială din mediul de testare disponibilă administratorilor de sistem.

Versiuni suportate: remedierea rapidă este susținută oficial de echipa de securitate Plone pe următoarele versiuni de Plone, în conformitate cu politica de suport pentru versiunea Plone: 4.0.10, 4.1.6, 4.2.7, 4.3.11 și 5.0.6. Cu toate acestea, a primit și câteva teste pe versiuni mai vechi Plone

Corecțiile incluse aici vor fi incorporate în versiunile ulterioare ale Plone, deci Plone 4.3.12, 5.0.7 și urmtoarele nu ar trebui să necesite această remediere rapidă.

Credit: Datorită lui Tim Coen de la Curesec GmbH care a făcut o dezvăluire responsabilă a vulnerabilității XSS. Evadarea parțială din mediul de testare a fost găsită de echipa de securitate Plone, inspirați de scrierile lui Armin Ronacher pe această temă.

Patch-ul a fost lansat pe data de 17.01.2017 15:00 UTC.

Instalare

Instrucțiuni complete de instalare sunt disponibile pe pagina de lansare a HotFix-ului.

Ajutor suplimentar

În cazul în care nu aveți administratori de server interni sau a unui contract de servicii de support pentru site-ul vostru puteți găsi companii de consultanță la plone.com/providers.

Există de asemenea suport gratuit disponibil on-line, prin intermediul canalului de IRC Plone și a forumului comunității Plone.

Întrebări și răspunsuri

Ce implică aplicarea patch-ului ? Patch-urile sunt puse la dispoziție sub formă de arhivă tip tarball care pot fi dezarhivate în folderul “products” a unei instalări buildout și pachete Python ce pot fi instalate prin editarea fișierului de configurare buildout și rularea de buildout. Patching-ul este în general ușor și rapid de realizat.

Cum au fost găsite aceste vulnerabilități ? Vulnerabilitățile au fost găsite de către utilizatori, trimițându-le pe lista de mail a echipei de securitate.

Site-ul meu este foarte vizibil și esențial misiunii. Am auzit că patch-ul a fost deja dezvoltat. Pot obține patch-ul înaintea lansării ? Patch-urile Plone sunt întotdeauna puse la dispoziția tuturor în același timp. Nu sunt excepții.

Cum pot raporta alte posibile vulnerabilități de securitate ? Trimiteți mail la echipa de securitate Plone la adresa security@plone.org mai degrabă decât să discutați în mod public problemele potențiale de securitate.

Cum pot aplica patch-ul fără să afectez utilizatorii ? Chiar dacă acest patch NU necesită să rulați buildout, o puteți face făra să afectați utilizatorii. Aveți posibilitatea să reporniți o instalare multi-client Plone fără a afecta utilizatorii; vezi http://docs.plone.org/manage/deploying/processes.html

Cum pot obține ajutor pentru a efectua patch-ul pe site ? Furnizorii de servicii Plone sunt listați aici plone.com/providers. Există, de asemenea, suport gratuit disponibil on-line, prin intermediul canalului de IRC Plone și a forumului comunității Plone.

Cine este în echipa de securitate Plone și cum este finanțată ? Echipa de securitate Plone este formată din voluntari care sunt dezvoltatori familiarizați cu baza de cod Plone și cu exploatările de securitate. Echipa de securitate Plone nu este finanțată; membrii și/sau angajatorii lor își oferă voluntar timpul lor în interesul comunității Plone.

Cum pot ajuta echipa de securitate Plone ? Echipa de securitate Plone caută ajutor de la dezvoltatori și testeri de securitate. Voluntarii trebuie să fie cunoscuți de către echipa de securitate și să facă parte din comunitatea Plone de ceva timp. Pentru a ajuta echipa de securitate financiar, donațiile voastre sunt binevenite la http://plone.org/sponsors.

Întrebări generale cu privire la acest anunț, proceduri de aplicare a patch-ului și disponibilitatea de sprijin pot fi adresate pe forumurile de sprijin Plone. Dacă aveți întrebări specifice cu privire la această vulnerabilitate, contactați echipa de securitate Plone direct.

Pentru a raporta probleme potențiale legate de securitate, trimiteți un e-mail echipei de securitate Plone la security@plone.org mai degrabă decât să le discutați public. Suntem întotdeauna fericiți să dăm credit persoanelor fizice și companiilor care fac prezentări de informații responsabile.

Echipa de securitate Plone este formată în totalitate din voluntari. Dacă vreți să ajutați echipa ca developer, tester sau sponsor financiar, trimiteți un email la security@plone.org și devino un sponsor donând pe pagina plone.org/sponsors

Pentru a fi informat cu privire la viitoarele patch-uri de securitate, abonați-vă la lista de anunțuri Plone cu trafic redus

Informații pentru Vulnerability Database Maintainers

Am aplicat deja pentru numere CVE pentru aceste probleme. Informații suplimentare cu privire la vulnerabilitățile individuale (inclusiv scoruri CVSS, identificatori CWE și rezumatele) sunt disponibile la lista de vulnerabilitaăți curentă si vechea listă de vulnerabilități.