Pre-anunț vulnerabilitate de securitate: 20151006
Natura vulnerabilității: va fi dezvăluită marți, 6 octombrie 2015, la ora 15:00 UTC.
Patch-ul va fi lansat marti, 6 octombrie 2015, la ora 15:00 UTC. Patch-ul va fi disponibil pe pagina https://pypi.python.org
Acest patch va fi compatibil cu toate versiunile sprijinite Plone. O soluție alternativă pentru Plone 1.x, 2.x și 3.x va fi descrisă.
Instalare
Instrucțiunile complete de instalare sunt disponobile pe pagina de lansări de HotFix
ATENȚIE: Instalarea acestui patch necesită rularea de buildout. Alte metode de instalare utilizate cu patch-uri anterioare nu vor funcționa corect și va avea ca rezultat erori și / sau site-ul va continua să fie vulnerabil.
Ajutor Suplimentar
În cazul în care nu aveți administratori de server interni sau a unui contract de servicii de support pentru site-ul vostru puteți găsi companii de consultanță la plone.com/providers și plone.org/support/network
Există de asemenea suport gratuit disponibil on-line, prin intermediul listelor de mail Plone și canalelor IRC Plone.
Întrebări și răspunsuri
Î. Ce implică aplicarea patch-ului ?
R. Acest patch este pus la dispoziție ca un pachet de Python care trebuie să fie instalat prin editarea unui fișier de configurare buildout și rularea de buildout. Aplicarea patch-ului este în general ușor și rapid de realizat.
Î. Cum a fost găsită această vulnerabilitate ?
R. Majoritatea problemelor s-au constatat, ca parte a auditurilor efectuate de echipa de securitate Plone. Un subset a fost raportat de către utilizatori. Mai multe detalii vor fi disponibile la lansarea patch-ului.
Î. Site-ul meu este foarte vizibil și esențial misiunii. Am auzit că patch-ul a fost deja dezvoltat. Pot obține patch-ul înaintea lansării ?
R. Acest patch va fi disponibil de marți 6 octombrie 2015, la ora 15:00 UTC. Patch-urile Plone sunt mereu puse la dispoziția tuturor utilizatorilor în același timp. Nu există excepții.
Î. Este site-ul meu Plone în primejdie legat de această vulnerabilitate ?
Î. Cum știu dacă site-ul meu a fost exploatat ?
Î. Cum pot să confirm că patch-ul a fost instalat corect și site-ul meu este protejat ?
R. Detalii despre vulnerabilitate vor fi dezvăluite în același timp cu patch-ul.
Î. Cum pot raporta alte posibile vulnerabilități de securitate ?
R. Trimiteți mail la echipa de securitate Plone la adresa security@plone.org mai degrabă decât să discutați în mod public problemele potențiale de securitate.
Î. Cum pot aplica patch-ul fără să afectez utilizatorii ?
R. Puteți rula buildout fără afectarea utilizatorilor. Aveți posibilitatea să reporniți o instalare multi-client Plone fără a afecta utilizatorii; vezi http://docs.plone.org/manage/deploying/processes.html
Î. Cum pot obține ajutor pentru a efectua patch-ul pe site ?
R. Furnizorii de servicii Plone sunt listați aici plone.com/providers și aici plone.org/support/network. Există, de asemenea, suport gratuit disponibil on-line, prin intermediul listelor de mail Plone si canalelor IRC Plone.
Î. Cine este în echipa de securitate Plone și cum este finanțată ?
R. Echipa de securitate Plone este formată din voluntari care sunt dezvoltatori familiarizați cu baza de cod Plone și cu exploatările de securitate. Echipa de securitate Plone nu este finanțată; membrii și/sau angajatorii lor își oferă voluntar timpul lor în interesul comunității Plone.
Întrebări generale cu privire la acest anunț, proceduri de aplicare a patch-ului și disponibilitatea de sprijin pot fi adresate pe forumurile de sprijin Plone. Dacă aveți întrebări specifice cu privire la această vulnerabilitate, contactați echipa Plone de securitate la security@plone.org
Pentru a raporta probleme potențiale legate de securitate, trimiteți un e-mail la security@plone.org. Suntem întotdeauna fericiți să dăm credit persoanelor fizice și companiilor care fac prezentări de informații responsabile.
Informații pentru Vulnerability Database Maintainers
Vom aplica pentru numere CVE pentru aceste probleme. Informații suplimentare cu privire la vulnerabilitățile individuale (inclusiv scoruri CVSS, identificatori CWE și rezumatele) vor fi disponibile în lista completă de vulnerabilități.