Kritische Lücke in Zope und Plone geschlossen

Eine kritische Lücke in Plone (betroffen waren alle Versionen bis 4.2.1) erlaubte es unter anderem anonymen Angreifern mit bestimmten Methoden höhere Rechte zu erlangen. Der Hotfix und Details zur Lücke wurden am Dienstag, den 6. November 2012 veröffentlicht.

Wenn Sie den Hotfix nicht bereits zeitnah eingespielt haben, wird empfohlen dies unverzüglich nachzuholen.. Bis zum Einspielen des Patches werden folgende Schritte empfohlen, die ohnehin zu den Standard Maßnahmen gehören:

Ausführen von Zope und Plone mit minimalen Rechten
Installation eines Intrusion Detection System
Überwachung der Log-Dateien

Weitere Informationen zu der Lücke finden Sie hier.

Warum sind diesmal alle Versionen betroffen?

Habe ich die ganze Zeit mit einem unsicheren System gearbeitet?

Der mögliche Angriffspunkt wurde vom eigenen Plone Security Team bei den routinemäßigen Audits basierend auf neuesten Angriffsmethoden in aktuellen Browsern entdeckt und gefixt.

Ständig werden neue Methoden und Angriffsmöglichkeiten bekannt, die sich auch durch Änderungen in den Betriebssystemen und Technologien wie Javascript entwickeln. Hierdurch werden Angriffe möglich, die vorher undenkbar waren bzw. so nicht erwartet wurden.

Eine vorbeugende Massnahme versucht mögliche Angriffe erst garnicht aufkommen zu lassen. Daher werden die Details zur Lücke erst mit Verzögerung nach der Veröffentlichung des Hotfix bekanntgegeben.

Der aktuelle Fix wurde auch für die offiziell nicht mehr unterstützten Version 2.5 getestet und ist auch dort ohne Einschränkung verwendbar.

Muss ich alle zurückliegenden Hotfixes ebenfalls einspielen?

In der Regel sind frühere Hotfixes in der nächsten Release enhalten. Ein genaues Studium der Changelogs wird aber jedem verantwortungsvollen Administrator empfohlen und von Ihm erwartet.