現在位置: ホーム ブログ Ploneセキュリティ警告
ブログ

Ploneセキュリティ警告

Ploneの幅広いバージョンについて、管理者権限などを奪取される可能性があるというセキュリティ警告が発令されました。

http://plone.org/products/plone/security/advisories/cve-2011-0720

詳細は明らかにされていませんが、匿名ユーザが、管理者権限などのユーザに昇格される可能性があるようです。権限を取られると、「コンテンツの不正な書換」や「非公開コンテンツの閲覧」などをされたり、パスワードの書換により、正規ユーザがログイン出来なくなる事も考えられます。

発表によると、Plone2.5、Plone3.x、Plone4.0とほぼ全てのバージョンに対して警告されています。この対策プログラムは、2011年2月8日(火曜日)までにリリースされる予定とのことですので、その日にメンテナンスを行い対策をする必要があります。それまでの間、ログインを不能にしたり、データベースの書込を制限するなどして対処した方が良いとの事とです。

ログインを制限していたり、限られたネットワーク内で利用している場合は、問題が少ないかと思いますが、広く開放しているサイトなどでは、対策を早期に行う事が必要だと考えられます。

ただ、過剰に反応しサイト停止などを行う必要は無いと思います。

まずは、第一報まで。

当社では、コアデベロッパーと連絡を取り合い、詳細を確認しております。必要に応じた対応をサポートすることも可能です。その際にはご連絡を頂ければと思います。

comments powered by Disqus