Vulnerabilidades en Plone 2.X y 3.0.X

por Francesc Cucurull Última modificación 11/05/2008 21:14
— archivado en:

Varias vulnerabilidades en las versiones más recientes de Plone, permiten la suplantación de identidad, comprometer la seguridad del sistema e incluso obtener contraseñas de los usuarios.

ProCheckUp, una empresa londinense dedicada a verificar la seguridad de los sistemas, publicó hace pocos días un artículo donde expone múltiples vulnerabilidades así como medidas de protección a adoptar en el sistema de autenticación y gestión de las sesiones de usuario en Plone.

A modo de resumen desde plone-es.org queremos daros unas mínimas indicaciones para evitar que vuestros sistemas sean atacados aprovechando dichas vulnerabilidades.

    • Nunca utilizar el usuario admin, creado por la instalación de Plone para administrar vuestros sitios. Crear siempre un administrador diferente para cada sitio.
    • Nunca visitar paginas de dudosa fiabilidad o procedencia usando el mismo navegador con el que se está o ha estado utilizando Plone como administrador. Siempre reiniciar antes el navegador , utilizar otra instancia del mismo u otro de los varios navegadores existentes.
    • Instalar sessionCrumbler en vuestros sistemas
    • Configurar el Clock-Server de Zope para generar nuevas claves de cifrado periodicamente

 

Podéis encontrar la noticia original en Hispasec o leer el artículo completo The Art of Plowning (en inglés).

 

Vía http://www.hispasec.com/unaaldia/3434

Contenido Relacionado
Acciones de Documento

En vías de solución

Enviado por Mikel Larreategi en 31/03/2008 13:00
La solución a esta vulnerabilidad, estaba prevista para Plone 3.1 http://plone.org/products/plone/roadmap/224 y según veo, están preparando el producto para parchear Plone 2.5.x y 3.0.x pero todavía no hay un release: http://dev.plone.org/[…]/trunk
Patrocina: SEMIC Internet