[Plone-IT] hotfix

Yuri yurj a alfa.it
Mer 7 Nov 2012 10:32:42 UTC


Il 07/11/2012 11:29, Vito Falco ha scritto:
> Per chiarimenti sulla questione del BLOB basta chiedere al Sauzher che 
> l'ha "sgamato" :)

C'č un pattern con cui fare grep nei log? Cosė vedo se qualcuno ha 
tentato di farlo :-P

>
>     Information for security researchers
>     Impact Subscore: 4.9
>     Exploitability Subscore: 10
>     Overall CVSS Score: 5
>     Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:P/E:P/RL:O/RC:C)
>     CWE: CWE-306
>     Credit: Alessandro SauZheR
>
>
> Vito
>
> 2012/11/7 Yuri <yurj a alfa.it <mailto:yurj a alfa.it>>
>
>     http://plone.org/products/plone/security/advisories/20121106
>
>     qui ci sono tutti i problemi fissati dall'hotfix. Alcuni sono
>     paranoici nei casi normali (quanti utenti reali non sicuri abbiamo
>     che scrivono python script?), l'unico degno di nota, mi pare, č
>     questo:
>
>     http://plone.org/products/plone/security/advisories/20121106/17
>
>     BLOBs stored on custom content types can be accessed through a
>     non-standard URL, bypassing the declared permission check
>
>     Anonymous users can use a crafted URL to illegitimately download
>     Files and Images.  Thanks to Karl Johan Kleist who found that this
>     had been incorrectly reported, and let the security team know.
>
>     ===============
>
>     Penso quindi che l'unico problema "vero" sia questo. Dal fix mi
>     pare che il field sia accessibile tramite il suo metodo
>     index_html. Quindi da url web in qualche modo si arriva al field e
>     da lė il metodo permette di scaricare il file, indipendentemente
>     dai permessi.
>
>     Concordate?
>
>     _______________________________________________
>     Plone-IT mailing list
>     Plone-IT a lists.plone.org <mailto:Plone-IT a lists.plone.org>
>     https://lists.plone.org/mailman/listinfo/plone-plone-it
>     http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
>
>
>
>
> -- 
> *Vito Falco*
> Webdeveloper & designer freelance, Plone enthusiast
> Bari, IT
> tel +39 3346330137 | skype vito80ba | twitter vito80ba
> Blog http://appuntiplone.wordpress.com 
> <http://appuntiplone.wordpress.com/>
>
>
>
> _______________________________________________
> Plone-IT mailing list
> Plone-IT a lists.plone.org
> https://lists.plone.org/mailman/listinfo/plone-plone-it
> http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html



Maggiori informazioni sulla lista Plone-IT