Ripeto quello che secondo me è il nocciolo del security advisory (chiedo scusa se annoio qualcuno: mi sembra valga la pena di correre questo rischio): pianificate un aggiornamento di *tutti* i siti Plone che gestite. Fatelo a ridosso delle 17:00 dell'8 febbraio (ora italiana). In quella finestra installerete il fix che si potrà trovare a partire dalle 17 su http://plone.org/products/plone/security/advisories/cve-2011-0720<http://plone.org/products/plone/security/advisories/cve-2011-0720#> . Se non potete pianificare l'aggiornamento è FORTEMENTE consigliato:
1. disabilitare la scrittura su ZODB ( http://plone.org/documentation/faq/plone-read-only-mode) 2. Disabilitare il login ( http://plone.org/documentation/kb/disable-logins-for-a-plone-site) Quanto leggete qui sopra è fondamentalmente tradotto. Quello che leggete qui sotto è la mia visione. È stata scoperta una vulnerabilità. Molto probabilmente è gravissima. Appena sarà resa pubblica sarà triviale per chi ha le competenze fare reverse engineering della patch per scrivere un exploit. Quindi alle 17:10 dell'8 gennaio tutti i siti Plone che non abbiano seguito i consigli qui sopra saranno a rischio. In questo momento il rischio è di gran lunga minore: l'exploit è ancora in mano esclusiva di pochi white hat (e magari anche di qualche black hat, ma da lì a pubblico il passo è enorme). Silvio
_______________________________________________ Plone-IT mailing list Plone-IT@lists.plone.org https://lists.plone.org/mailman/listinfo/plone-it http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
