Pre-anunț pentru vulnerabilități de securitate:20151208
Versiuni afectate: Toate versiunile de Plone suportate
Versiuni neafectate: Niciuna.
Natura vulnerabilității: Patch-ul va aborda divulgarea neautorizată a informațiilor utilizatorilor înregistrați.
Recomandări standard de securitate
- Asigurați-vă că serviciul Zope/Plone rulează cu minim de privilegii. În mod ideal, serviciile de Zope si ZEO ar trebui să poată scrie numai in directoarele de log si data. Site-urile Plone instalate prin intermediul installer-elor Plone fac deja acest lucru.
- Folosiți un sistem de detectare al intruziunilor care sa monitorizeze resursele cheie pentru a preveni modificări neautorizate
- Monitorizați Zope-ul, cererile reverse-proxy și log-urile de sistem pentru detectarea activităților suspicioase
- Asigurați-vă că sunteți la curent cu stirile de securitate folosind lista speciala Plone Security Announcements prin email, RSS și/sau Twitter.
Acestea sunt precauții standard care ar trebui implementate pe orice sistem de producție șî nu sunt legate de acest fix.
Î: Când va fi disponibil acest patch?
R: Echipa de securitate Plone va lansa patch-ul pe data de 08.12.2015 la 15:00 UTC.
Î: Ce implică aplicarea patch-ului?
R: Patc-urile sunt disponibile ca arhive .tar care pot fi despachetate în folderul "products" al unei instalări buildout, sau ca pachete Python care pot fi instalate prin editarea unui fișier de configurare a buildout-ului și rularea buildout-ului. Patching-ul este, în general, ușor și rapid de realizat.
Î: Cum sunt găsite aceste vulnerabilități?
R: Aceste vulnerabilități au fost găsite de useri, care le-au trimis pe lista de mail pentru securitate
Î: Site-ul meu are vizibilitate mare și importanță critică. Înțeleg că patch-ul este deja gata. Pot obține patch-ul înainte de data de lansare?
R: Nu. Patch-ul va fi pus la dispoziția tuturor administratorilor în același timp. Nu există excepții.
Î: Dacă patch-ul este gata, de ce nu este făcut public chiar acum?
R: Echipa de securitate încă testează patch-ul pentru o varietate largă de configurații și scenarii. Echipa are deasemenea grijă ca toată lumea să aibă timp sa plănuiască implementarea patch-ului. Unele organizații sunt nevoite să aplice patch-ul pe sute de site-uri și au nevoie de timp pentru a se coordona cu clienții.
Î: Cum se poate utiliza vulnerabilitatea?
R: Această informație nu va fi făcută publică decât dupa lansarea patch-ului.
Î: Poate fi site-ul meu Plone afectat de această vulnerabilitate? Cum aflu dacă site-ul a fost deja afectat? Cum pot confirma că patch-ul a fost instalat corect și că site-ul este protejat?
R: Detaliile despre natura vulnerabilității vor fi făcute publice odată cu patch-ul
Î: Cum pot raporta alte potențiale vulnerabilități?
R: Vă rugăm să trimiteți un mail la security@plone.org și să nu discutați public eventualele probleme de securitate.
Î: Cum pot implementa patch-ul fără să afectez utilizatorii?
R: Se poate rula buildout-ul fără să afectați utilizatorii. Puteți reporni o instanță multi-client de Plone fără a afecta utilizatorii; mai multe informații pe http://docs.plone.org/manage/deploying/processes.html
Î: Cum pot primi ajutor la aplicarea patch-ului?
R: Furnizorii de servicii Plone sunt listați la plone.com/providers și plone.org/support/network. Există deasemenea și suport gratuit online prin intermediul listelor de email și a canalelor de IRC
Î: Cine face parte din echipa de securitate Plone și cum este finanțată aceasta?
R: Echipa de securitate Plone este formată din voluntari care sunt dezvoltatori experimentați, familiari cu codul de baza al Plone și cu vulnerabilitătile de securitate. Echipa nu are finanțare. Membrii ai comunității și/sau angajați ai acestora și-au pus la dispoziție timpul în interesul comunității Plone.