[Plone-IT] hotfix

Yuri yurj a alfa.it
Mer 7 Nov 2012 11:06:35 UTC


Il 07/11/2012 12:00, SauZheR ha scritto:
>
> il problema nasce solo se un fileField ha un read_permission pių 
> restrittivo di quello che vale sul contesto. ad esempio un contenuto 
> pubblico,  con un fileField disponibile solo ai reviewer.
>

Grazie della info.
>
> bye
>
> Il giorno 07/nov/2012 11:32, "Yuri" <yurj a alfa.it 
> <mailto:yurj a alfa.it>> ha scritto:
>
>     Il 07/11/2012 11:29, Vito Falco ha scritto:
>
>         Per chiarimenti sulla questione del BLOB basta chiedere al
>         Sauzher che l'ha "sgamato" :)
>
>
>     C'č un pattern con cui fare grep nei log? Cosė vedo se qualcuno ha
>     tentato di farlo :-P
>
>
>             Information for security researchers
>             Impact Subscore: 4.9
>             Exploitability Subscore: 10
>             Overall CVSS Score: 5
>             Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:P/E:P/RL:O/RC:C)
>             CWE: CWE-306
>             Credit: Alessandro SauZheR
>
>
>         Vito
>
>         2012/11/7 Yuri <yurj a alfa.it <mailto:yurj a alfa.it>
>         <mailto:yurj a alfa.it <mailto:yurj a alfa.it>>>
>
>         http://plone.org/products/plone/security/advisories/20121106
>
>             qui ci sono tutti i problemi fissati dall'hotfix. Alcuni sono
>             paranoici nei casi normali (quanti utenti reali non sicuri
>         abbiamo
>             che scrivono python script?), l'unico degno di nota, mi
>         pare, č
>             questo:
>
>         http://plone.org/products/plone/security/advisories/20121106/17
>
>             BLOBs stored on custom content types can be accessed through a
>             non-standard URL, bypassing the declared permission check
>
>             Anonymous users can use a crafted URL to illegitimately
>         download
>             Files and Images.  Thanks to Karl Johan Kleist who found
>         that this
>             had been incorrectly reported, and let the security team know.
>
>             ===============
>
>             Penso quindi che l'unico problema "vero" sia questo. Dal
>         fix mi
>             pare che il field sia accessibile tramite il suo metodo
>             index_html. Quindi da url web in qualche modo si arriva al
>         field e
>             da lė il metodo permette di scaricare il file,
>         indipendentemente
>             dai permessi.
>
>             Concordate?
>
>             _______________________________________________
>             Plone-IT mailing list
>         Plone-IT a lists.plone.org <mailto:Plone-IT a lists.plone.org>
>         <mailto:Plone-IT a lists.plone.org
>         <mailto:Plone-IT a lists.plone.org>>
>         https://lists.plone.org/mailman/listinfo/plone-plone-it
>         http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
>
>
>
>
>         -- 
>         *Vito Falco*
>         Webdeveloper & designer freelance, Plone enthusiast
>         Bari, IT
>         tel +39 3346330137 <tel:%2B39%203346330137> | skype vito80ba |
>         twitter vito80ba
>         Blog http://appuntiplone.wordpress.com
>         <http://appuntiplone.wordpress.com/>
>
>
>
>         _______________________________________________
>         Plone-IT mailing list
>         Plone-IT a lists.plone.org <mailto:Plone-IT a lists.plone.org>
>         https://lists.plone.org/mailman/listinfo/plone-plone-it
>         http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
>
>
>     _______________________________________________
>     Plone-IT mailing list
>     Plone-IT a lists.plone.org <mailto:Plone-IT a lists.plone.org>
>     https://lists.plone.org/mailman/listinfo/plone-plone-it
>     http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
>
>
>
> _______________________________________________
> Plone-IT mailing list
> Plone-IT a lists.plone.org
> https://lists.plone.org/mailman/listinfo/plone-plone-it
> http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html



Maggiori informazioni sulla lista Plone-IT