Vulnerabilidades en Plone 2.X y 3.0.X
Varias vulnerabilidades en las versiones más recientes de Plone, permiten la suplantación de identidad, comprometer la seguridad del sistema e incluso obtener contraseñas de los usuarios.
ProCheckUp, una empresa londinense dedicada a verificar la seguridad de los sistemas, publicó hace pocos días un artículo donde expone múltiples vulnerabilidades así como medidas de protección a adoptar en el sistema de autenticación y gestión de las sesiones de usuario en Plone.
A modo de resumen desde plone-es.org queremos daros unas mínimas indicaciones para evitar que vuestros sistemas sean atacados aprovechando dichas vulnerabilidades.
- Nunca utilizar el usuario admin, creado por la instalación de Plone para administrar vuestros sitios. Crear siempre un administrador diferente para cada sitio.
- Nunca visitar paginas de dudosa fiabilidad o procedencia usando el mismo navegador con el que se está o ha estado utilizando Plone como administrador. Siempre reiniciar antes el navegador , utilizar otra instancia del mismo u otro de los varios navegadores existentes.
- Instalar sessionCrumbler en vuestros sistemas
- Configurar el Clock-Server de Zope para generar nuevas claves de cifrado periodicamente
Podéis encontrar la noticia original en Hispasec o leer el artículo completo The Art of Plowning (en inglés).
Acciones de Documento
Vergonzoso
Sugerir usar otra instancia del navegador para no comprometer la seguridad de un sitio con Plone me parece inaceptable, y tener que instalar productos de terceros (sessionCrumbler) para elevar la seguridad a un nivel aceptable también.
Espero no haber abierto demasiado mi bocaza; y también que se arreglen estos agujeros lo antes posible. ;-)



En vías de solución