Tema del segundo Workshop
Workshop Instalación Plone 3 (2/5)
Vulnerabilidades en Plone 2.X y 3.0.X
Varias vulnerabilidades en las versiones más recientes de Plone, permiten la suplantación de identidad, comprometer la seguridad del sistema e incluso obtener contraseñas de los usuarios.
ProCheckUp, una empresa londinense dedicada a verificar la seguridad de los sistemas, publicó hace pocos días un artículo donde expone múltiples vulnerabilidades así como medidas de protección a adoptar en el sistema de autenticación y gestión de las sesiones de usuario en Plone.
A modo de resumen desde plone-es.org queremos daros unas mínimas indicaciones para evitar que vuestros sistemas sean atacados aprovechando dichas vulnerabilidades.
- Nunca utilizar el usuario admin, creado por la instalación de Plone para administrar vuestros sitios. Crear siempre un administrador diferente para cada sitio.
- Nunca visitar paginas de dudosa fiabilidad o procedencia usando el mismo navegador con el que se está o ha estado utilizando Plone como administrador. Siempre reiniciar antes el navegador , utilizar otra instancia del mismo u otro de los varios navegadores existentes.
- Instalar sessionCrumbler en vuestros sistemas
- Configurar el Clock-Server de Zope para generar nuevas claves de cifrado periodicamente
Podéis encontrar la noticia original en Hispasec o leer el artículo completo The Art of Plowning (en inglés).
Vergonzoso
Sugerir usar otra instancia del navegador para no comprometer la seguridad de un sitio con Plone me parece inaceptable, y tener que instalar productos de terceros (sessionCrumbler) para elevar la seguridad a un nivel aceptable también.
Espero no haber abierto demasiado mi bocaza; y también que se arreglen estos agujeros lo antes posible. ;-)
En vías de solución