Salta ai contenuti. | Salta alla navigazione

Sezioni
Tu sei qui: Home News Il mondo Plone, maggio/giugno 2013

Il mondo Plone, maggio/giugno 2013

Aggiornamenti periodici dal mondo Plone

EuroPython 2013

L’EuroPython è alle porte, si svolgerà a Firenze nella prima settimana di luglio.

Quest’anno ci saranno molti talk interessanti, tra questi segnaliamo alcuni interventi che - più o meno direttamente - parleranno di plone:

 

All'EuroPython ci sarà anche un apposito desk informativo su Plone dove sarà possibile richiedere informazioni e assistenza. Inutile ricordare, inoltre, che partecipando avrete modo di incontrare altri plonisti con cui poter condividere e confrontare le vostre esperienze, rendendo così la community sempre più viva e attiva.

 

Annuncio di vulnerabilità: 20130611 - Multiple vectors

Sarà a breve rilasciata una patch per Zope e Plone per risolvere una serie di problemi tra cui l’esecuzione arbitraria di codice e l’escalation dei privilegi.

Versioni coinvolte: tutte le versioni correnti di Plone.

Versioni non coinvolte: Nessuna.


I dettagli delle vulnerabilità non sono ancora disponibili, ma si preannuncia che la
hotfix sarà rilasciata su questa pagina data 2013-06-11 15:00 UTC

Cosa fare in attesa della Patch

A causa della natura delle vulnerabilità, la security team ha deciso di preannunciare l’imminente rilascio della patch prima di rivelarne i dettagli. In questo modo potrete pianificare le modalità e i tempi di applicazione della hotfix. Quando sarà pubblicata la patch i dettagli della vulnerabilità saranno di dominio pubblico, si raccomanda perciò di pianificare la manutenzione nei 60 minuti successive al rilascio per poter installare l'hotfix.

Nel frattempo si raccomanda VIVAMENTE di proteggere i propri siti in questo modo:

  1. Assicurarsi che i servizi Zope/Plone girino con il minimo dei privilegi. L’ideale è che i servizi Zope e ZEO possano scrivere solo nelle directory log e data. I siti Plone installati attraverso gli installer ufficiali già sono configurati in questo modo.
  2. Utilizzare un sistema di rilevazione delle intrusioni (intrusion detection system) che monitorizza le risorse chiave del sistema per rilevare modifiche non autorizzate.
  3. Monitorare i log di Zope, del reverse-proxy e di sistema per individuare attività insolite.

 

Per ulteriori dettagli e informazioni si raccomanda la lettura di questa pagina (in inglese) su Plone.org.

Azioni sul documento
archiviato sotto: