【続報】Ploneのセキュリティ警告

先日お伝えしました、Ploneのセキュリティ警告ですが、詳細が明らかになり、Hotfixがリリースされました。

詳細は、下記のページ(英文)
http://plone.org/products/plone/security/advisories/cve-2011-0720

今回のセキュリティ警告は2つの要素を持っています。対象範囲はPlone2.0以降全てとなっています。

1. Zope Publisherが持つバグ(Plone3.0以降(Zope2.10以降)のみ)
2. Ploneコード内のセキュリティ宣言の甘さの修正

前者1項は、獲得を用いて要素を取得した際に、セキュリティチェックがされていないという物でした。オブジェクトの属性などを獲得で取得され、その内容がセキュリティ上重要な物の場合に、重大な問題となります。

内部構造を理解している者が、非常に特殊なリクエストを送った場合に発生する可能性があります。さらにパスワードなどを暗号化せずに属性として持っている場合には、管理者権限の奪取に繋がりかねません。(Plone標準では、パスワードはSHAで暗号化されています)

後者2項は、Plone内部のカタログやSkinといった物が利用する、メソッド単位でのセキュリティ宣言が甘かったようです。

前者1項同様に、内部構造を理解している者が、重要なデータを閲覧することが可能になってた物です。

多くは、複数のセキュリティチェックを経てアクセスされますので、簡単にこの問題を突かれることはありません。

対策は、下記のページ(英部)に記載がありますが、
http://plone.org/products/plone-hotfix/releases/CVE-2011-0720/

インストール方法

1. buildout環境(Plone3.2以降)

下記をbuildout.cfgに追記します。

[buildout]
...
eggs =
Products.PloneHotfix20110720

その後、

$ ./bin/buildout -Nv

にて、buildoutを実行して、一旦Zope(Plone)を停止後、起動します。

2. それ以外(Plone3.1以前)やbuildoutを実行しにくい場合

上記のサイトから、「PloneHotfix20110720-1.1.tar.gz」又は「PloneHotfix20110720-1.1.zip」をダウンロードして「Products」(Plone3.0以降でUnifideInstalerの場合は「products」)フォルダに設置し、

一旦Zope(Plone)を停止後、

起動します。

共に、起動時に、フォアグランド実行(./bin/instance fg や ./bin/runzope)を行うと、Plone3.0以降(厳密には、Zope2.10以降)の時に、パッチが適用された旨が2個(Hotfix CVE-2011-720 installed)(Hotfix installed.)がコンソールに表示されます。Plone2.xの場合には、1個(Hotfix installed.)がコンソールに表示されます。

まれに、このセキュリティホールを突いてユーザを新規に作られたり、Cookieを盗んだりしている可能性があります。存在するユーザの確認と、管理者権限のパスワード変更をしておいた方が良いでしょう。