[Plone-IT] preparatevi ad aggiornate i vostri plone
Fabrizio Rota
fabrizio.rota a gmail.com
Mer 2 Feb 2011 13:18:06 UTC
Che annuncio shock.......
Io per precauzione ho deciso di aumentare la frequenza dei backup...
Fortunatamente dati sensibili/segreti nel mio sito non ne tengo
Male che vada rimetterò in piedi il sito dai backups e azzererò tutte le
password (dopo aver installato la patch).
faber
Il giorno 02 febbraio 2011 14:00, Luca Fabbri <luca a keul.it> ha scritto:
> 2011/2/2 Yuri <yurj a alfa.it>:
> >>> non ho ancora visto passare questo in lista:
> >>> http://plone.org/products/plone/security/advisories/cve-2011-0720
> >>> aime', non capita molto spesso che si venga allarmati in anticipo di
> una
> >>> patch
> >>> di sicurezza per Plone, e penso sia bene essere tutti avvisati.
> >>> di fatto, ci ricorda quanto siamo fortunati a lavorare con un sistema
> >>> che in anni di onorato servizio ha fatto veramente pochissimi di questi
> >>> scherzi :)
> >>> (si tende a darlo per scontato, ma plone e' un servizio web, piuttosto
> >>> esposto a questo
> >>> tipo di problemi, se solo fosse meno "professionale" nel suo sviluppo)
> >>> saluti
> >>>
> >>
> >> Tra parentesi, uno dei due possibili workaround proposti secondo me
> >> non vale molto in tantissimi casi. Mettere il database in read-only
> >> non significa che un utente non possa andare a vedere contenuti
> >> privati e riservati.
> >>
> >>
> >
> > però potrebbe non far funzionare l'exploit, che probabilmente ha bisogno
> di
> > scrivere. cookie -> scrivo -> utilizzo quello che ho scritto per accedere
> al
> > pannello di controllo e altri due punti.
>
> Ho chiesto nella chat di Plone e mi hanno confermato che basta uno dei
> due metodi proposti come workaround. Il read-only mode non permetterà
> agli utenti di maligni di vedere contenuti riservati, come invece
> temevo.
>
> L'aria che tira però è fondamentalmente questa: quasi tutti dicono che
> faranno prima ad intervenire direttamente sui loro siti non appena il
> fix viene rilasciato.
>
> --
> -- luca
> _______________________________________________
> Plone-IT mailing list
> Plone-IT a lists.plone.org
> https://lists.plone.org/mailman/listinfo/plone-it
> http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
>
--
Fabrizio
--------------------
"Life is what happens to you while you're busy making other plans" - J.
Lennon
“If you think education is expensive, try ignorance” - D. Bok
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.plone.org/pipermail/plone-plone-it/attachments/20110202/c052c30f/attachment-0002.html>
Maggiori informazioni sulla lista
Plone-IT