2011/2/2 Yuri <y...@alfa.it>: > Il 02/02/2011 09:41, Maurizio Delmonte ha scritto: >> >> non ho ancora visto passare questo in lista: >> >> http://plone.org/products/plone/security/advisories/cve-2011-0720 >> >> aime', non capita molto spesso che si venga allarmati in anticipo di una >> patch >> di sicurezza per Plone, e penso sia bene essere tutti avvisati. > > Sarebbe utile qualche informazione in più, mi pare di aver capito che > rilascino la patch l'8 febbraio. Non penso che sia un segreto così grande, > per cui fino all'8 siamo "scoperti"? >
si viene resa pubblica l'8 feb...e si siamo scoperti fino a quella data. comunque è stata anticipata in quanto risulta essere di gravità alta e soprattutto permetterebbe una escalation di privilegi partendo da utente anonimo. Consigli: se nessuno dall'esterno deve collegarsi seguire il wa, altrimenti cercare di filtrarli o almeno controllare i file di log >> >> di fatto, ci ricorda quanto siamo fortunati a lavorare con un sistema >> che in anni di onorato servizio ha fatto veramente pochissimi di questi >> scherzi :) >> (si tende a darlo per scontato, ma plone e' un servizio web, piuttosto >> esposto a questo >> tipo di problemi, se solo fosse meno "professionale" nel suo sviluppo) > > "This is an escalation of privileges attack that can be used by anonymous > users to gain access to a Plone site's administration controls, view > unpublished content, create new content and modify a site's skin." > > Il fatto che sotto chiedano di disabilitare il login dev'essere qualche > codice che viene passato tramite il cookie... > > P.S.ah, il codice "unrestricted" :-P > > >> >> saluti >> >> -- >> Maurizio Delmonte - [maurizio.delmo...@abstract.it >> <mailto:bruno.r...@abstract.it>] >> Abstract Open Solutions [http://www.abstract.it <http://www.abstract.it/>] >> Tel: +39 081 06 08 213 >> Fax: +39 081 01 12 239 >> >> ** Per favore non mandatemi allegati in Word o PowerPoint! | >> http://www.gnu.org/philosophy/no-word-attachments.it.html ** >> >> >> ------------------------------------------------------------------------------------------------------------------------- >> Ai sensi del d.lgs. 196 del 30 giugno 2003, recante disposizioni per la >> tutela delle persone e di altri soggetti rispetto >> al trattamento dei dati personali, si precisa che questa email è inviata >> unicamente ai destinatari sopra esposti, con >> espressa diffida di leggerla, copiarla, diffonderla ed usarla senza >> autorizzazione. Se avete ricevuto questa email per >> errore, vi preghiamo di distruggerla immediatamente e contattarci tramite >> uno dei recapiti sopra indicati. >> >> -------------------------------------------------------------------------------------------------------------------------- >> >> >> _______________________________________________ >> Plone-IT mailing list >> Plone-IT@lists.plone.org >> https://lists.plone.org/mailman/listinfo/plone-it >> http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html > > _______________________________________________ > Plone-IT mailing list > Plone-IT@lists.plone.org > https://lists.plone.org/mailman/listinfo/plone-it > http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html > _______________________________________________ Plone-IT mailing list Plone-IT@lists.plone.org https://lists.plone.org/mailman/listinfo/plone-it http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
