07/02/2011

Alerte de sécurité sur une élévation de privilège dans Plone : une réactivité exemplaire

Une vulnérabilité a été découverte dans Plone. Elle permet aux utilisateurs anonymes d'obtenir des privilèges administrateur et touche toutes les versions de à 2.5 à 4.0. Voici comment la Plone Foundation et les équipes de développement de Plone ont réagi et quelle solution est mise en oeuvre pour répondre à cette vulnérabilité.

Cette actualité est une traduction de l'annonce de sécurité http://plone.org/products/plone/security/advisories/cve-2011-0720

Il s'agit d'une attaque par élévation de privilèges qui permet à un utilisateur anonyme d'obtenir l’accès aux outils de contrôle d'un site Plone, de voir les contenus non publiés, de créer de nouveaux contenus et de modifier le thème du site. L'isolation de Zope est toujours active, et l'attaquant n'a pas accès aux autres applications fonctionnant sur la même instance.

Toutes les versions de Plone depuis 2.5 sont affectées soit 2.5, 3.0, 3.1, 3.2 ,3.3, 4.0, y compris toutes les versions mineures et de développement. Les versions précédant la version 2.5,  soit Plone 1.0, Plone 2.0 et 2.1, ne sont pas vulnérables.

Étant donné sévérité de la faille, nous vous annonçons par avance que nous mettrons à votre disposition un patch sur cette page le mardi 8 février à 16h00 GMT.

Solution de contournement

En raison de la nature de la vulnérabilité, l’équipe en charge de la sécurité a décidé d'annoncer par avance qu'un correctif est en préparation afin que les utilisateurs concernés puissent prévoir son déploiement. La publication du correctif dévoilera les détails de la faille. Aussi, nous recommandons à tous les utilisateurs de prévoir un temps de maintenance de 30 minutes avant et après la publication durant lequel vous installerez le correctif et votre site sera inaccessible.

Si vous ne pouvez pas couper votre site à cet horaire, nous vous recommandons fortement de procéder à ces modifications à compter de la publication et ce jusqu'à ce que le correctif soit installé :

  1. Passez votre base de données en lecture seule
  2. Si c'est impossible car vous n'utilisez pas la base standard ZODB, désactivez l'inscription au site en filtrant l'authentification HTTP et les cookies dans Apache ou Varnish

Ces mesures n'ont pas à être mises en place dés maintenant, mais devront être prises avant la publication du correctifs et des détails de l'attaque. En interdisant les modifications de votre site, et en appliquant le patch rapidement, vous empêcherez un éventuel attaquant de procéder à son attaque.

Trouver de l'aide

Pilot Systems prend en charge le déploiement du correctif pour tous ses clients en tierce maintenance applicative.

Nous pouvons aussi vous proposer une prestation ponctuelle pour réaliser la mise à jour de vos site Plone.

Informations pour les bases de données de vulnérabilités

CVSS Base Score
7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:F/RL:T/RC:C)
Impact Subscore
6.4
Exploitability Subscore
10
CVSS Temporal Score
6.4
Credit
Alan Hoey

Mots clés