Abbiamo riunito tutti gli RSS che parlano di Plone.
Vuoi aggiungere il tuo blog al planet? Invia una mail alla lista italiana.
Ultimo aggiornamento: 10/04/2021 17:45:08
Plone 5: le principali novità.
Plone Open Garden 2016
Giunto alla sua nona edizione, si rinnova il consueto appuntamento organizzato da Abstract per parlare delle molte novità che riguardano il mondo di Plone.
Nel meraviglioso Hotel Mediterraneo di Sorrento, secondo una formula ormai collaudata, i partecipanti potranno:
-
tenere i propri talk (anticipate le vostre proposte scrivendo a plog@abstract.it );
-
approfondire temi e discussioni, nei pomeriggi dedicati all’ open space ;
-
sprintare su idee e obiettivi condivisi con gli altri plonisti.
Il tutto nel consueto relax che la location sorrentina offre ai suoi ospiti.
A proposito: anche quest’anno la partecipazione è gratuita, e siete benvenuti ad arrivare il 28 marzo o prima e ripartire il 2 Aprile o dopo, in modo da fruire a pieno di tutti i giorni del PLOG.
Per tutte le informazioni relative all’evento, per sottoporre proposte di talk o argomenti per gli sprint, per registrarsi, visitate il sito dell’evento .
HotFix 20151006 - CSRF
Natura della vulnerabilità: La patch risolve diverse vulnerabilità agli attacchi CSRF (cross.site request forgery) nella ZMI (Zope Management Interface).
La patch è stata rilasciata Martedì 6 ottobre 2015 alle 15:00 UTC ed è disponibile all'indirizzo: https://pypi.python.org/pypi/plone4.csrffixes
Per informazioni di carattere generale sulle vulnerabilità CSRF potete visitare la pagina (in inglese) https://en.wikipedia.org/wiki/Cross-site_request_forgery.
Versioni interessate
Tutte le versioni precedenti la 5.x sono vulnerabili.
Questa patch è compatibile con tutte le veriosni di plone supportate (4.x). Plone 5.x è già protetto e non necessita di questa patch.
Regole di blocco proxy per Nginx/Apache
Se usate una versione di Plone precedente alla 4.x, vi suggeriamo di eseguire l'upgrade o di bloccare l'accesso alla ZMI dall'esterno.
Sia che usiate Nginx o Apache le regole che seguono devono essere le prime della lista, prima della regola “location /”.
Usate questa regola di blocco per Nginx:
location ~ /manage(_.+)?$ {
deny all;
}
Usate questa regola di blocco per Apache:
RewriteRule ^(.*)manage(.*) - [L,NC]
<LocationMatch "^/(manage|manage_main|(.*)/manage(.*))" >
Deny from all
</LocationMatch>
Firewall
Vi suggeriamo anche di utilizzare un firewall che impedisca l'accesso diretto alle porte dello ZEO client, ad es. 8080, 8081, e a qualsiasi porta dello ZEO server, ad esempio 8100.
Potete visitare il link http://docs.plone.org/manage/deploying/production/ubuntu_production.html#step-8-set-up-a-firewall (in inglese) per maggiori informazioni sulla configurazione del firewall per proteggere Plone.
Informazioni su questa patch
Per prevenire i problemi di CSRF incriminati, la presente patch riporta su Plone 4.x il framework di protezione automatica dagli attacchi CSRF incluso nativamente in Plone 5.
Questa patch di Plone, a differenza dalle precedenti, non è un semplice prodotto installabile senza rieseguire il buildout.
La protezione CSRF funziona perfettamente su siti Plone di default, tuttavia potrebbe essere eccessivamente aggressiva se fate uso di add-on e personalizzazioni che comprendono quanto segue:
- l'uso di Zope session storage
- codice vulnerabile ad attacchi CSRF
- codice JavaScript non non-jQuery AJAX che non sia protetto da attacchi CSRF
- codice che effettua write-on-read
Dopo aver applicato la patch Plone potrebbe generare degli errori quando incontra il codice menzionato.
Dovrete aggiungere _authenticator a varie URL per impedire gli errori di write-on-read. Per ulteriori dettagli su come fare consultate la pagina: https://pypi.python.org/pypi/plone.protect (in inglese).
Vi raccomandiamo di testare in modo completo i vostri siti prima di eseguire la patch sulle versioni di esercizio.
Mentre verificate in ambiente di test l'efficacia della patch vi raccomandiamo di attivare le regole di blocco per Ngnix e Apache di cui sopra.
La Security Team è consapevole che l'applicazione di questa patch ai siti può essere molto onerosa, ed ha già fatto il massimo per ottenere questo risultato.
Potete contattare la Security Team all'indirizzo security@plone.org per dare suggerimenti relativi a migliorie che possono essere incluse nella patch.
Installazione
Le istruzioni complete per l'installazione (in inglese) sono disponibili sulla pagina di rilascio della HotFix
ATTENZIONE: l'installazione di questa patch richiede l'esecuzione del buildout. Metodi alternativi d'installazione potrebbero non funzionare correttamete, portando al malfunzionamento o alla non persistenza della vulnerabiltà del sito.
Supporto aggiuntivo
Se avete necessità di una consulenza specifica potete trovare una lista delle aziende che offrono consulenza Plone su plone.com/providers e plone.org/support/network.
E' disponibile anche un supporto gratuito online attraverso le mailing list Plone e il canale IRC.
Per leggere l'informativa originale (in inglese) potete consultare il link: https://plone.org/products/plone/security/advisories/security-vulnerability-20151006-csrf.
Preavviso rilascio patch di sicurezza 20151006
La natura della vulnerabilità sarà resa nota martedì 6 ottobre 2015 alle 15:00 UTC, contemporaneamente al rilascio della HotFix che sarà disponibile su https://pypi.python.org.
La patch sarà compatibile con tutte le versioni supportate di Plone.
Per Plone 1.x, 2.x e 3.x saranno fornite indicazioni specifiche per risolvere il problema.
Installazione
Le istruzioni complete per l'installazione saranno fornite nella pagina di rilascio della HotFix.
ATTENZIONE: questa hotfix richiede l'installazione tramite buildout. Altri metodi di installazione utilizzati per le hotfix precedenti non funzionano correttamente e potrebbero risultare in errori o nella permanenza della vulnerabilità sul vostro sito.
Ulteriore supporto
Se avete necessità di una consulenza specifica potete trovare una lista delle aziende che offrono consulenza Plone su plone.com/providers e plone.org/support/network.
E' disponibile anche un supporto gratuito online attraverso le mailing list Plone e il canale IRC.
Per ulteriori approfondimenti e una lista di FAQ sulla hotfix potete leggere la notizia originale (in lingua inglese).
URGENTE: Security Hotfix 20150910
Il gruppo che si occupa della sicurezza dei siti Plone ha rilasciato la Hotfix che risolve i problemi di sicurezza riscontrati sui siti che sfruttano l'autoregistrazione degli utenti.
La Hotfix impatta tutte le versioni di Plone, si raccomanda pertanto di pianificarne l'installazione quanto prima.
Per ulteriori informazioni consultare i seguenti link (in lingua inglese):
- Descrizione della vulnerabilità: https://plone.org/products/plone/security/advisories/20150910-announcement
- Download della hotfix: https://plone.org/products/plone-hotfix/releases/20150910
Plone Intranet Consortium: insieme per il futuro di Plone
Come trasformare automaticamente centinaia di file docx e pubblicarli come pagine web con Plone
Il digital workplace basato su Plone Intranet è prossimo alla prima release
Una cartolina dal Plone Open Garden 2015
Plone e Alta Affidabilità
Plone Open Garden 2015 - l'occasione giusta per discutere e pianificare
Il Plone Open Garden è alle porte, prepariamoci per una settimana dedicata a Plone
Plone Open Garden 2015: un evento da non perdere!
Plone Open Garden 2015
Giunto alla sua nona edizione, si rinnova il consueto appuntamento organizzato da Abstract per parlare delle molte novità che riguardano il mondo di Plone.
Nel meraviglioso Hotel Mediterraneo di Sorrento, secondo una formula ormai collaudata, i partecipanti potranno:
-
tenere i propri talk (anticipate le vostre proposte scrivendo a plog@abstract.it);
-
approfondire temi e discussioni, nei pomeriggi dedicati all’open space;
-
sprintare su idee e obiettivi condivisi con gli altri plonisti.
Il tutto nel consueto relax che la location sorrentina offre ai suoi ospiti.
A proposito: anche quest’anno la partecipazione è gratuita.
Per tutte le informazioni relative all’evento, per sottoporre proposte di talk o argomenti per gli sprint, per registrarsi, visitate il sito dell’evento.