[Plone-IT] preparatevi ad aggiornate i vostri plone

Amedeo Salvati amedeo a oscert.net
Mer 2 Feb 2011 09:12:21 UTC


2011/2/2 Yuri <yurj a alfa.it>:
> Il 02/02/2011 09:41, Maurizio Delmonte ha scritto:
>>
>> non ho ancora visto passare questo in lista:
>>
>> http://plone.org/products/plone/security/advisories/cve-2011-0720
>>
>> aime', non capita molto spesso che si venga allarmati in anticipo di una
>> patch
>> di sicurezza per Plone, e penso sia bene essere tutti avvisati.
>
>  Sarebbe utile qualche informazione in più, mi pare di aver capito che
> rilascino la patch l'8 febbraio. Non penso che sia un segreto così grande,
> per cui fino all'8 siamo "scoperti"?
>

si viene resa pubblica l'8 feb...e si siamo scoperti fino a quella
data. comunque è stata anticipata in quanto risulta essere di gravità
alta e soprattutto permetterebbe una escalation di privilegi partendo
da utente anonimo.

Consigli: se nessuno dall'esterno deve collegarsi seguire il wa,
altrimenti cercare di filtrarli o almeno controllare i file di log

>>
>> di fatto, ci ricorda quanto siamo fortunati a lavorare con un sistema
>> che in anni di onorato servizio ha fatto veramente pochissimi di questi
>> scherzi :)
>> (si tende a darlo per scontato, ma plone e' un servizio web, piuttosto
>> esposto a questo
>> tipo di problemi, se solo fosse meno "professionale" nel suo sviluppo)
>
> "This is an escalation of privileges attack that can be used by anonymous
> users to gain access to a Plone site's administration controls, view
> unpublished content, create new content and modify a site's skin."
>
> Il fatto che sotto chiedano di disabilitare il login dev'essere qualche
> codice che viene passato tramite il cookie...
>
>  P.S.ah, il codice "unrestricted" :-P
>
>
>>
>> saluti
>>
>> --
>> Maurizio Delmonte - [maurizio.delmonte a abstract.it
>> <mailto:bruno.ripa a abstract.it>]
>> Abstract Open Solutions [http://www.abstract.it <http://www.abstract.it/>]
>> Tel:  +39 081 06 08 213
>> Fax:  +39 081 01 12 239
>>
>> ** Per favore non mandatemi allegati in Word o PowerPoint! |
>> http://www.gnu.org/philosophy/no-word-attachments.it.html **
>>
>>
>> -------------------------------------------------------------------------------------------------------------------------
>> Ai sensi del d.lgs. 196 del 30 giugno 2003, recante disposizioni per la
>> tutela delle persone e di altri soggetti rispetto
>> al trattamento dei dati personali, si precisa che questa email è inviata
>> unicamente ai destinatari sopra esposti, con
>> espressa diffida di leggerla, copiarla, diffonderla ed usarla senza
>> autorizzazione. Se avete ricevuto questa email per
>> errore, vi preghiamo di distruggerla immediatamente e contattarci tramite
>> uno dei recapiti sopra indicati.
>>
>> --------------------------------------------------------------------------------------------------------------------------
>>
>>
>> _______________________________________________
>> Plone-IT mailing list
>> Plone-IT a lists.plone.org
>> https://lists.plone.org/mailman/listinfo/plone-it
>> http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
>
> _______________________________________________
> Plone-IT mailing list
> Plone-IT a lists.plone.org
> https://lists.plone.org/mailman/listinfo/plone-it
> http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
>



Maggiori informazioni sulla lista Plone-IT