Pre-anunț pentru vulnerabilități de securitate: 20170117

Numerele CVE nu au fost încă emise.

Versiuni afectate: Toate versiunile Plone susținute (4.x, 5.x). Versiunile precedente ar putea fi afectate, dar nu au fost testate.

Versiuni neafectate: Nici una.

Natura vulnerabilității: Gravitate scăzută, nici o expunere de date sau escaladare a privilegiilor pentru utilizatorii anonimi.

Patch-ul va fi lansat pe data de 17.01.2017 15:00 UTC.

Pregătiri

Acesta este un pre-anunț de disponibilitate a acestei remedieri de securitate.

Corecția de securitate va fi numită Products.PloneHotfix20170117 iar versiunea sa va fi 1.0. Următoarele instrucțiuni de instalare vor fi disponibile atunci când fixul este lansat.

Recomandări standard de securitate

• Asigurați-vă că serviciul Zope/Plone rulează cu minim de privilegii. În mod ideal, serviciile de Zope si ZEO ar trebui să poată scrie numai in directoarele de log si data. Site-urile Plone instalate prin intermediul installer-elor Plone fac deja acest lucru.
• Folosiți un sistem de detectare al intruziunilor care sa monitorizeze resursele cheie pentru a preveni modificări neautorizate
• Monitorizați Zope-ul, cererile reverse-proxy și log-urile de sistem pentru detectarea activităților suspicioase
• Asigurați-vă că administratorul dumnveavoastră rămâne la curent cu stirile de securitate folosind lista speciala Plone Security Announcements prin email, RSS și/sau Twitter.

Acestea sunt precauții standard care ar trebui implementate pe orice sistem de producție șî nu sunt legate de acest fix.

Ajutor Suplimentar

În cazul în care nu aveți administratori de server interni sau a unui contract de servicii de support pentru site-ul vostru puteți găsi companii de consultanță la plone.com/providers și plone.org/support/network

Există de asemenea suport gratuit disponibil on-line, prin intermediul listelor de mail Plone și canalelor IRC Plone.

Î. Când va fi pus la dispoziție acest patch ? R. Echipa de Securitate Plone va lansa acest patch pe 17.01.2017 la ora 15:00 UTC.

Î. Ce implică aplicarea patch-ului ? R. Patch-urile sunt puse la dispoziție sub formă de arhivă tip tarball care poate fi dezarhivată în folderul “products” a unei instalări buildout și pachete Python ce pot fi instalate prin editarea fișierului de configurare buildout și rularea de buildout. Patching-ul este în general ușor și rapid de realizat.

Î: Cum au fost aceste vulnerabilități găsite? R: Vulnerabilitățile au fost descoperite de către utilizatori trimițându-le la lista de mail de securitate.

Î. Site-ul meu este foarte vizibil și esențial misiunii. Am auzit că patch-ul a fost deja dezvoltat. Pot obține patch-ul înaintea lansării ? R. Nu. Patch-ul va fi pus la dispoziția tuturor administratorilor în același timp. Nu sunt excepții

Î. Dacă patch-ul a fost elaborat deja, de ce nu este pus la dispozișia publicului acum ? R. Echipa de Securitate încă testează patch-ul împotriva unei varietăți largi de configurații și verificând diverse scenarii temeinic. Echipa se asigură de asemenea că toată lumea are timpul necesar pentru a-și planifica instalarea patch-ului. Unele organizații de consultanță au sute de site-uri la care trebuie să aplice patch-urile și au nevoie de timp suplimentar pentru a coordona eforturile cu clienții lor.

Î. Cum se exploatează vulnerabilitatea? R. Aceste informații nu vor fi făcute publice decât după ce patch-ul este pus la dispoziție.

Î. Este site-ul meu Plone în primejdie legat de această vulnerabilitate ? Cum știu dacă a fost exploatat ? Cum pot să verific că am instalat corect acest hotfix și site-ul este protejat ?

R. Detalii legate de vulnerabilitate vor fi dezvăluite odată cu patch-ul.

Î. Cum pot raporta alte posibile vulnerabilități de securitate ?

R. Trimiteți mail la echipa de securitate Plone la adresa security@plone.org mai degrabă decât să discutați în mod public problemele potențiale de securitate.

Î. Cum pot aplica patch-ul fără să afectez utilizatorii ?

R. Chiar dacă patch-ul nu necesită să rulați buildout, puteți rula buildout fără afectarea utilizatorilor. Aveți posibilitatea să reporniți o instalare multi-client Plone fără a afecta utilizatorii; vezi http://docs.plone.org/manage/deploying/processes.html

Î. Cum pot obține ajutor pentru a efectua patch-ul pe site ?

R. Furnizorii de servicii Plone sunt listați aici plone.com/providers și aici plone.org/support/network Există, de asemenea, suport gratuit disponibil on-line, prin intermediul listelor de mail Plone si canalelor IRC Plone.

Î. Cine este în echipa de securitate Plone și cum este finanțată ?

R. Echipa de securitate Plone este formată din voluntari care sunt dezvoltatori familiarizați cu baza de cod Plone și cu exploatările de securitate. Echipa de securitate Plone nu este finanțată; membrii și/sau angajatorii lor își oferă voluntar timpul lor în interesul comunității Plone.

Î. Cum pot ajuta echipa de securitate Plone ?

R. Echipa de securitate Plone caută ajutor de la dezvoltatori și testeri de securitate. Voluntarii trebuie să fie cunoscuți de către echipa de securitate și să facă parte din comunitatea Plone de ceva timp. Pentru a ajuta echipa de securitate financiar, donațiile voastre sunt binevenite la http://plone.org/donate.

Întrebări generale cu privire la acest anunț, proceduri de aplicare a patch-ului și disponibilitatea de sprijin pot fi adresate pe forumurile de sprijin Plone. Dacă aveți întrebări specifice cu privire la această vulnerabilitate, contactați echipa Plone de securitate la security@plone.org

Pentru a raporta probleme potențiale legate de securitate, trimiteți un e-mail la security@plone.org. Suntem întotdeauna fericiți să dăm credit persoanelor fizice și companiilor care fac prezentări de informații responsabile.

Informații pentru Vulnerability Database Maintainers

Vom aplica pentru numere CVE pentru aceste probleme. Informații suplimentare cu privire la vulnerabilitățile individuale (inclusiv scoruri CVSS, identificatori CVE și rezumatele) vor fi disponibile în lista completă de vulnerabilități.