Planet Plone Italia

Natura della vulnerabilità: La patch risolve diverse vulnerabilità agli attacchi CSRF (cross.site request forgery) nella ZMI (Zope Management Interface).

La patch è stata rilasciata Martedì 6 ottobre 2015 alle 15:00 UTC ed è disponibile all'indirizzo: https://pypi.python.org/pypi/plone4.csrffixes

Per informazioni di carattere generale sulle vulnerabilità CSRF potete visitare la pagina (in inglese)  https://en.wikipedia.org/wiki/Cross-site_request_forgery.

Versioni interessate

Tutte le versioni precedenti la 5.x sono vulnerabili.

Questa patch è compatibile con tutte le veriosni di plone supportate (4.x). Plone 5.x è già protetto e non necessita di questa patch.

Regole di blocco proxy per Nginx/Apache

Se usate una versione di Plone precedente alla 4.x, vi suggeriamo di eseguire l'upgrade o di bloccare l'accesso alla ZMI dall'esterno.

Sia che usiate Nginx o Apache le regole che seguono devono essere le prime della lista, prima della regola “location /”.

Usate questa regola di blocco per Nginx:

location  ~ /manage(_.+)?$ {
 deny all;
}

Usate questa regola di blocco per Apache:

RewriteRule ^(.*)manage(.*) - [L,NC]
<LocationMatch "^/(manage|manage_main|(.*)/manage(.*))" >
 Deny from all
</LocationMatch>

Firewall

Vi suggeriamo anche di utilizzare un firewall che impedisca l'accesso diretto alle porte dello ZEO client, ad es. 8080, 8081, e a qualsiasi porta dello ZEO server, ad esempio 8100.

Potete visitare il link http://docs.plone.org/manage/deploying/production/ubuntu_production.html#step-8-set-up-a-firewall (in inglese) per maggiori informazioni sulla configurazione del firewall per proteggere Plone.

Informazioni su questa patch

Per prevenire i problemi di CSRF incriminati, la presente patch riporta su Plone 4.x il framework di protezione automatica dagli attacchi CSRF incluso nativamente in Plone 5.

Questa patch di Plone, a differenza dalle precedenti, non è un semplice prodotto installabile senza rieseguire il buildout.

La protezione CSRF funziona perfettamente su siti Plone di default, tuttavia potrebbe essere eccessivamente aggressiva se fate uso di add-on e personalizzazioni che comprendono quanto segue:

• l'uso di Zope session storage
• codice vulnerabile ad attacchi CSRF
• codice JavaScript non non-jQuery AJAX che non sia protetto da attacchi CSRF
• codice che effettua write-on-read

Dopo aver applicato la patch Plone potrebbe generare degli errori quando incontra il codice menzionato.

Dovrete aggiungere _authenticator a varie URL per impedire gli errori di write-on-read. Per ulteriori dettagli su come fare consultate la pagina: https://pypi.python.org/pypi/plone.protect (in inglese).

Vi raccomandiamo di testare in modo completo i vostri siti prima di eseguire la patch sulle versioni di esercizio.

Mentre verificate in ambiente di test l'efficacia della patch vi raccomandiamo di attivare le regole di blocco per Ngnix e Apache di cui sopra.

La Security Team è consapevole che l'applicazione di questa patch ai siti può essere molto onerosa, ed ha già fatto il massimo per ottenere questo risultato.

Potete contattare la Security Team all'indirizzo security@plone.org per dare suggerimenti relativi a migliorie che possono essere incluse nella patch.

Installazione

Le istruzioni complete per l'installazione (in inglese) sono disponibili sulla pagina di rilascio della HotFix

ATTENZIONE: l'installazione di questa patch richiede l'esecuzione del buildout. Metodi alternativi d'installazione potrebbero non funzionare correttamete, portando al malfunzionamento o alla non persistenza della vulnerabiltà del sito.

Supporto aggiuntivo

Se avete necessità di una consulenza specifica potete trovare una lista delle aziende che offrono consulenza Plone su plone.com/providers e plone.org/support/network.

E' disponibile anche un supporto gratuito online attraverso le mailing list Plone e il canale IRC.

Per leggere l'informativa originale (in inglese) potete consultare il link: https://plone.org/products/plone/security/advisories/security-vulnerability-20151006-csrf.