Plone veiligheidslek CVE-2011-0720

Dit veiligheidslek betreft een escalatie van privileges die kan worden gebruikt door anonieme gebruikers om toegang te krijgen tot administratief gedeelte van een Plone site waardoor deze private content te zien kan krijgen, of de site-configuratie kan aanpassen.

De veiligsheidcontainer van Zope naar het onderliggende filesysteem van de server toe, blijf echter wel intact. Bij een sucessvolle inbraakpoging is bijgevolg enkel de Plone-site gecompromiteerd en niet de rest van de onderliggende server. Ook eventueel andere plone-sites binnen dezelfde Zope-omgeving worden niet gecompromitteerd.

Geaffecteerd zijn alle versies van Plone sinds Plone 2.5, dus 2.5, 3.0, 3.1, 3.2, 3.3, 4.0 en alle subreleases daarvan. Plone-versies ouder dan Plone 2.5, zoals 2.1, 2.0, 1.0 zijn niet geaffecteerd

De bugfix werd bekend gemaakt op 8 februari 2011 om 17.30u, en deze werd enkele weken vooraf aangekondigd zodat alle nodige maatregelen voorbereid konden worden.

Zie hier voor de volledige installatie-instructies

Hulp nodig?

Indien u gebruik maakt van Plone en zelf over onvoldoende tijd en/of expertise beschikt, dan kan u altijd WVH Consulting contacteren.

Update 15 April 2011: Eerste geautomatiseerde inbraak-pogingen

rond midden april 2011 werden de eerste geautomisateerde inbraak-pogingen gesignaleerd. Indien uw Plone-site nog niet beveiligd werd, door gebrek aan interne opvolging en/of externe ondersteuning, dan wordt het stilaan hoogtijd!

100% veilig bestaat niet.

Plone is één van de meest veilige content management systemen beschikbaar. Het wordt onder meer gebruikt voor de website van de CIA en FBI. (Kunt u zelf checken door html-code van deze sites te inspecteren rightclick -> view html)

Niettemin moet men steeds waakzaam blijven inzake mogelijk veiligheidslekken.