[plonegov-br] CVE-2011-0720

Érico Andrei ericof em gmail.com
Terça Fevereiro 8 17:33:52 BRST 2011


Apenas complementando o texto do Xiru.

Existem dois casos raríssimos (ao menos até agora) em que a versão 1.0
do patch não funciona.

Caso após a aplicação do Hotfix você tenha uma mensagem de erro no log
(event.log ou equivalente) dizendo que o PloneHotfix20110720 não pode
ser instalado, não se desespere.

Para você, existe uma versão 1.1 que deve resolver o problema (
http://pypi.python.org/pypi/Products.PloneHotfix20110720/1.1 )

Caso você tenha interesse, existe um script para ser executado contra
o log de acesso de seu site para validar se vocẽ já foi alvo de algum
ataque explorando esta vulnerabilidade. Ele está documentado em
http://plone.org/products/plone/security/advisories/cve-2011-0720
(procure por logchecker.py).

abs,
Érico Andrei


2011/2/8 Fabiano Weimar dos Santos <xirumacanudo em gmail.com>:
> O patch saiu :D
>
> FYI, o bug afeta também o Plone 2.1 e 2.0. Há um problema de
> desinformação aqui: a URL
> http://plone.org/products/plone/security/advisories/cve-2011-0720# diz
> que não seriam afetadas, mas quando o patch foi ser escrito, acabaram
> concluindo que era necessário consertar coisas no Zope (não apenas no
> Plone). Isso é explicito aqui
> http://pypi.python.org/pypi/Products.PloneHotfix20110720/1.0
>
> Convém aplicar em todos os servidores Zope rodando Plone de 2.0 em diante.
>
> Eu tentei aplicar em servidor Zope sem Plone instalado e tive alguns
> problemas. Ainda não parei para estudar, mas parece que ninguem previu
> isso :)
>
> -- Fabiano Weimar
>
>
> Em 4 de fevereiro de 2011 19:13, Jean Rodrigo Ferri
> <jeanferri em interlegis.gov.br> escreveu:
>> Dorneles Treméa escreveu:
>>> Pessoal,
>>>
>>> eu imagino que todos já estejam cientes da atualização de segurança
>>> do Plone que será lançada na próxima Terça, mas não custa reforçar:
>>>
>>> http://plone.org/products/plone/security/advisories/cve-2011-0720
>>>
>>> A partir das 14h (de Brasília) do dia 08/02/2011, praticamente todos
>>> os sites Plone existentes (não conheço mais ninguém que ainda rode
>>> algo anterior a versão 2.5...) estarão vulneráveis.
>>>
>>> Os gestores devem programar uma manutenção emergencial e realizar
>>> a correção que será disponibilizada, caso contrário teremos centenas
>>> de sites Plone sendo vítimas de defacement por ai...
>>
>> Oi Dorneles,
>>
>> Conhece portais em Plone 2.1 sim, deixa eu te apresentar alguns:
>>
>> http://colab.interlegis.gov.br/wiki/CasasUsamPortalModelo
>>
>> Por incrível que pareça, uma das vantagens de ainda usarmos o Plone 2.1
>> no Interlegis é que, aparentemente, não teremos que nos preocupar com
>> essa falha de segurança! ;-)
>>
>> Abraço,
>>
>> --
>> Jean Ferri
>> Analista de Sistemas
>> Interlegis - Brasília (DF)
>> _______________________________________________
>> Comunidade Plone no Governo
>> Site: http://www.softwarelivre.gov.br/plone
>> Wiki: http://colab.interlegis.gov.br/wiki/PloneGovBr
>> Lista: http://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>>
>
>
>
> --
> Fabiano Weimar dos Santos [Xiru]
> http://www.pytown.com
> Blog: http://blog.xiru.org
> Twitter: xiru
> Buzz: xirumacanudo
> Skype: xirumacanudo
> MSN: xirumacanudo
> _______________________________________________
> Comunidade Plone no Governo
> Site: http://www.softwarelivre.gov.br/plone
> Wiki: http://colab.interlegis.gov.br/wiki/PloneGovBr
> Lista: http://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
>


Mais detalhes sobre a lista de discussão PloneGov-BR