Vulnerabilidade de segurança no Plone

Equipe de segurança anuncia uma vulnerabilidade no Plone. Confira as providências necessárias para deixar seu site seguro.

A equipe de segurança do Plone anunciou nesta quarta-feira, 2 de fevereiro, que foi encontrada uma vulnerabilidade que permite a um usuário anonimo conquistar privilégios administrativos em um site Plone. Com esses privilégios o usuário poderia visualizar conteúdo não publicado, criar novos objetos e alterar o tema do site.

Essa vulnerabilidade atinge as versões 2.5, 3.0, 3.1, 3.2, 3.3, 4.0 do Plone.

O Patch com a solução para este problema será publicado no próximo dia 8 de fevereiro as 14 horas (horário de Brasília), junto com mais detalhes sobre como essa vulnerabilidade pode ser explorada. Apartir da divulgação desses detalhes, recomenda-se a aplicação imadiata patch que corrige o problema. Caso essa ação não seja possível neste horário, a equie do Plone recomenda que o acesso ao site seja fechado até que o patch seja aplicado.

Procedimentos adotados pela Simples Consultoria

O patch de segurança será aplicado a todos os sites de nossos clientes que possuem contrato de manutenção ou tem seus sites hospedados no Tangrama, nossa operação de hospedagem para sites Plone.

No momento da publicação da correção no Plone.org, no dia 8 de fevereiro, todos os sites afetados terão seu acesso autenticado bloqueado para não permitir que a vulnerabilidade seja explorada. O acesso ficará bloqueado até a aplicação da correção.

Qualquer dúvida sobre os procedimentos ou sobre a falha de segurança, basta entrar em contato com a nossa equipe.

> Confira o anúncio oficial publicado no Plone.org
http://plone.org/products/plone/security/advisories/cve-2011-0720