Engraçado, Achei bastante válida a colocação do Charles quanto a possibilidade do patch ser plantado. Mas não gostei muito do seu comportamento, já que nestes casos este tipo de crítica, oriunda de um profissional tão critico e tão capacitado, deveria ser acompanhada de fundamentos técnicos e não apenas suposições. Vamos lá, bota essa mão na massa, audita o código e mostra o problema na raiz!
;) UaiGeek - Angelo Marcondes de Oliveira Neto. <angelomarcon...@gmail.com> Blog do UaiGeek <http://uaigeek.blogspot.com> Carneirinho - MG <http://pt.wikipedia.org/wiki/Carneirinho> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - P: Por que esta mensagem é tão curta? R: http://3frases.efetividade.net - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2013/6/5 Charles Henrique <thyar...@gmail.com> > Desculpa... discordo. Eu não tenho que provar nada. Teste a versão > TRIAL e depois a OPENSOURCE. Diga-me depois qual funcionou > corretamente Só porque ninguém postou isso no Google não quer dizer > que seja falso... Quem quiser provas que as busque. > > Talvez a questão não seja se no opensource teve falhas embutidas > propositadamente. A questão é que ele não funciona como o pago, > ponto. Talvez tais falhas na versão livre sejam propositais. Talvez > sejam porque os formados em geografia, administração e áreas adversas > da computação insistem em programar. Talvez seja assim por que Deus > quis. > > -- > Charles Henrique > > > On Wed, Jun 5, 2013 at 11:43 AM, Rafael Bruno Cavalhero de Oliveira > <rafael-bruno.olive...@serpro.gov.br> wrote: > > Caro Leonardo, > > > > Normalmente em uma discussão quem faz uma afirmação tem o ônus de > > comprová-la, se baseando em informações concretas, citando fontes, etc. O > > que você está sugerindo é justamente o contrário, o que vai contra o bom > > senso. Se uma informação não é comprovada os outros participantes da > > discussão tem o direito de considerar que a informação é falsa. > > > > Nesse caso a informação é sobre uma conduta eticamente reprovável, talvez > > até mesmo criminosa. Portanto comprovar a informação, por parte de quem a > > fez, se faz mais necessário ainda. > > > > Att, > > > > Rafael Oliveira - #31-7108 > > SERPRO/SUPDE/DEBHE/DE6WE > > > > Em 05/06/2013 às 11:30 horas, plonegov...@listas.interlegis.gov.brescreveu: > > > > O que o colega falou é de pura verdade, tem muitos softwares open source > que > > é tratado desta forma. Só quem trabalha com eles é quem sabe disso. > > > > Se é necessário comprovar o que está dizendo, acho que seria legal > começar a > > trabalhar com o software mencionado e tirar as devidas dúvidas. > > > > > > 2013/6/5 Rafael Bruno Cavalhero de Oliveira > > <rafael-bruno.olive...@serpro.gov.br> > >> > >> Desculpe, mas eu não achei nenhuma referência sobre falhas introduzidas > >> propositalmente nesse software. Você poderia enviar um link de uma > notícia > >> sobre o assunto ? > >> > >> > >> Rafael Oliveira - #31-7108 > >> SERPRO/SUPDE/DEBHE/DE6WE > >> > >> Em 05/06/2013 às 11:10 horas, plonegov-br@listas.interlegis.gov.br > >> escreveu: > >> > >> www.zenoss.org > >> -- > >> Charles Henrique > >> > >> > >> On Wed, Jun 5, 2013 at 10:16 AM, Rafael Bruno Cavalhero de Oliveira > >> <rafael-bruno.olive...@serpro.gov.br> wrote: > >> > Charles, > >> > > >> > Fiquei curioso, em qual "open source" você já viu falhas propositais > >> > serem > >> > introduzidas ? > >> > > >> > Att, > >> > > >> > Rafael Oliveira - #31-7108 > >> > SERPRO/SUPDE/DEBHE/DE6WE > >> > > >> > Em 04/06/2013 às 18:51 horas, plonegov-br@listas.interlegis.gov.br > >> > escreveu: > >> > > >> > Não tão infeliz quanto o ato, se verdadeiro o comentário. > >> > > >> > Já vi isso em outros open sources... quem pode dizer que não ou que > >> > sim no Plone? > >> > -- > >> > Charles Henrique > >> > > >> > > >> > On Tue, Jun 4, 2013 at 5:24 PM, Luís Flávio Loreto da Rocha > >> > <luis.ro...@ebc.com.br> wrote: > >> >> Nossa, que comentário infeliz! > >> >> > >> >> > >> >> Luis Flávio Loreto da Rocha > >> >> Coordenador de Projetos Digitais > >> >> Gerência de Criação - DICAP > >> >> EBC - Empresa Brasil de Comunicação > >> >> (61) 3799-5437 > >> >> > >> >> ----- Mensagem original ----- > >> >>> De: "Charles Henrique" <charleshenri...@pgr.mpf.gov.br> > >> >>> Para: "Comunidade Plone no Governo" > >> >>> <plonegov-br@listas.interlegis.gov.br> > >> >>> Enviadas: Terça-feira, 4 de Junho de 2013 14:18:23 > >> >>> Assunto: [plonegov-br] Security vulnerability announcement: > 20130611 - > >> >>> Multiple vectors > >> >>> Prezados, > >> >>> > >> >>> Mais uma correção de grave vulnerabilidade prevista para o dia 11/6/ > >> >>> 2013 , que alcança todas as versões do Plone. Estou começando a > achar > >> >>> que tais falhas são propositais, pois na mensagem existem > orientações > >> >>> de onde contratar consultoria especializada, caso a empresa não > tenha > >> >>> um ninja em Plone. Talvez os cores developers não estejam tão bem > >> >>> intencionados, como pensamos. > >> >>> > >> >>> > >> >>> Atenciosamente, > >> >>> > >> >>> Charles Henrique G. Santos > >> >>> Procuradoria Geral da República > >> >>> Ministério Público Federal > >> >>> (61) 3105-6795 > >> >>> > >> >>> "Ambiente limpo não é o que mais se limpa > >> >>> e sim o que menos se suja." > >> >>> > >> >>> -------- Mensagem original -------- > >> >>> Assunto: Security vulnerability announcement: 20130611 - Multiple > >> >>> vectors > >> >>> Data: Fri, 31 May 2013 10:26:24 GMT > >> >>> De: <Matthew Wilkes> > >> >>> > >> >>> Security vulnerability announcement: 20130611 - Multiple vectors > >> >>> > >> >>> CVE numbers not yet issued. > >> >>> > >> >>> Versions Affected: All current Plone versions. > >> >>> > >> >>> Versions Not Affected: None. > >> >>> > >> >>> This is a pre-announcement. Due to the severity of some of these > >> >>> issues, we are providing an advance warning of an upcoming patch. > The > >> >>> patch will be released on this page at 2013-06-11 15:00 UTC . What > You > >> >>> Should Do in Advance of Patch Availability > >> >>> > >> >>> > >> >>> Due to the nature of the vulnerability, the security team has > decided > >> >>> to pre-announce that a fix is upcoming before disclosing the > details. > >> >>> This is to ensure that concerned users can plan around the release. > As > >> >>> the fix being published will make the details of the vulnerability > >> >>> public, we are recommending that all users plan a maintenance window > >> >>> for the 60 minutes following the announcement in which to install > the > >> >>> fix. > >> >>> > >> >>> Meanwhile, we STRONGLY recommend that you take the following steps > to > >> >>> protect your site: > >> >>> > >> >>> 1. Make sure that the Zope/Plone service is running with with > minimum > >> >>> privileges. Ideally, the Zope and ZEO services should be able to > write > >> >>> only to log and data directories. > >> >>> 2. Use an intrusion detection system that monitors key system > >> >>> resources for unauthorized changes. > >> >>> 3. Monitor your Zope, reverse-proxy request and system logs for > >> >>> unusual activity. > >> >>> > >> >>> > >> >>> These are standard precautions that should be employed on any > >> >>> production system. Extra Help > >> >>> > >> >>> > >> >>> Should you not have in-house server administrators or a service > >> >>> agreement looking after your website, you can find consulting > >> >>> companies on plone.net . > >> >>> > >> >>> There is also free support available online via Plone mailing lists > >> >>> and the Plone IRC channels. > >> >>> > >> >>> Q: When will the patch be made available? > >> >>> A: The Plone Security Team will release the patch at 2013-06-11 > 15:00 > >> >>> UTC. > >> >>> > >> >>> Q. What will be involved in applying the patch? > >> >>> A. Patches are made available as tarball-style archives that may be > >> >>> unpacked into the products folder of a buildout installation and as > >> >>> Python packages that may be installed by editing a buildout > >> >>> configuration file and running buildout. Patching is generally easy > >> >>> and quick to accomplish. > >> >>> > >> >>> Q: How were these vulnerability found? > >> >>> A: The majority of issues were found as part of audits performed by > >> >>> the Plone Security team. A subset were reported by users. More > details > >> >>> will be available upon release of the patch. > >> >>> > >> >>> Q: My site is highly visible and mission-critical. I hear the patch > >> >>> has already been developed. Can I get the fix before the release > date? > >> >>> A: No. The patch will be made available to all users at the same > time > >> >>> . There are no exceptions. > >> >>> > >> >>> Q: If the patch has been developed already, why isn't it made > >> >>> available to the public now? > >> >>> A: The Security Team is still testing the patch and running various > >> >>> scenarios thoroughly. The team is also making sure everybody has > >> >>> appropriate time to plan to patch their Plone installation(s). Some > >> >>> consultancy organizations have hundreds of sites to patch and need > the > >> >>> extra time to coordinate their efforts with their clients. > >> >>> > >> >>> Q: How does one exploit the vulnerability? > >> >>> A: This information will not be made public until after the patch is > >> >>> made available. > >> >>> > >> >>> General questions about this announcement , Plone patching > procedures, > >> >>> and availability of support may be addressed to the Plone support > >> >>> forums . If you have specific questions about this vulnerability or > >> >>> its handling, contact the Plone Security Team . > >> >>> > >> >>> To report potentially security-related issues , e-mail the Plone > >> >>> Security Team at secur...@plone.org . We are always happy to credit > >> >>> individuals and companies who make responsible disclosures. > >> >>> Information for Vulnerability Database Maintainers > >> >>> > >> >>> > >> >>> We will issue individual advice on each issue, including CVSS2 and > CWE > >> >>> identifiers when the patch is released. We currently do not have CVE > >> >>> numbers assigned, but are in the process of applying. > >> >>> > >> >>> > >> >>> _______________________________________________ > >> >>> Comunidade Plone no Governo > >> >>> Site: www.softwarelivre.gov.br/plone > >> >>> Wiki: colab.interlegis.leg.br/wiki/PloneGovBr > >> >>> Lista: listas.interlegis.gov.br/mailman/listinfo/plonegov-br > >> >> _______________________________________________ > >> >> Comunidade Plone no Governo > >> >> Site: www.softwarelivre.gov.br/plone > >> >> Wiki: colab.interlegis.leg.br/wiki/PloneGovBr > >> >> Lista: listas.interlegis.gov.br/mailman/listinfo/plonegov-br > >> > _______________________________________________ > >> > Comunidade Plone no Governo > >> > Site: www.softwarelivre.gov.br/plone > >> > Wiki: colab.interlegis.leg.br/wiki/PloneGovBr > >> > Lista: listas.interlegis.gov.br/mailman/listinfo/plonegov-br > >> > > >> > - > >> > > >> > > >> > "Esta mensagem do SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO), > >> > empresa pública federal regida pelo disposto na Lei Federal nº 5.615, > é > >> > enviada exclusivamente a seu destinatário e pode conter informações > >> > confidenciais, protegidas por sigilo profissional. Sua utilização > >> > desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a > >> > recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, > >> > esclarecendo o equívoco." > >> > > >> > "This message from SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO) > -- > >> > a > >> > government company established under Brazilian law (5.615/70) -- is > >> > directed > >> > exclusively to its addressee and may contain confidential data, > >> > protected > >> > under professional secrecy rules. Its unauthorized use is illegal and > >> > may > >> > subject the transgressor to the law's penalties. If you're not the > >> > addressee, please send it back, elucidating the failure." > >> > > >> > _______________________________________________ > >> > Comunidade Plone no Governo > >> > Site: www.softwarelivre.gov.br/plone > >> > Wiki: colab.interlegis.leg.br/wiki/PloneGovBr > >> > Lista: listas.interlegis.gov.br/mailman/listinfo/plonegov-br > >> > > >> _______________________________________________ > >> Comunidade Plone no Governo > >> Site: www.softwarelivre.gov.br/plone > >> Wiki: colab.interlegis.leg.br/wiki/PloneGovBr > >> Lista: listas.interlegis.gov.br/mailman/listinfo/plonegov-br > >> > >> - > >> > >> > >> "Esta mensagem do SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO), > >> empresa pública federal regida pelo disposto na Lei Federal nº 5.615, é > >> enviada exclusivamente a seu destinatário e pode conter informações > >> confidenciais, protegidas por sigilo profissional. Sua utilização > >> desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a > >> recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, > >> esclarecendo o equívoco." > >> > >> "This message from SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO) > -- a > >> government company established under Brazilian law (5.615/70) -- is > directed > >> exclusively to its addressee and may contain confidential data, > protected > >> under professional secrecy rules. Its unauthorized use is illegal and > may > >> subject the transgressor to the law's penalties. If you're not the > >> addressee, please send it back, elucidating the failure." > >> > >> _______________________________________________ > >> Comunidade Plone no Governo > >> Site: www.softwarelivre.gov.br/plone > >> Wiki: colab.interlegis.leg.br/wiki/PloneGovBr > >> Lista: listas.interlegis.gov.br/mailman/listinfo/plonegov-br > >> > > > > - > > > > > > "Esta mensagem do SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO), > > empresa pública federal regida pelo disposto na Lei Federal nº 5.615, é > > enviada exclusivamente a seu destinatário e pode conter informações > > confidenciais, protegidas por sigilo profissional. Sua utilização > > desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a > > recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, > > esclarecendo o equívoco." > > > > "This message from SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO) -- > a > > government company established under Brazilian law (5.615/70) -- is > directed > > exclusively to its addressee and may contain confidential data, protected > > under professional secrecy rules. Its unauthorized use is illegal and may > > subject the transgressor to the law's penalties. If you're not the > > addressee, please send it back, elucidating the failure." > > > > _______________________________________________ > > Comunidade Plone no Governo > > Site: http://www.softwarelivre.gov.br/plone > > Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr > > Lista: http://listas.interlegis.gov.br/mailman/listinfo/plonegov-br > > > _______________________________________________ > Comunidade Plone no Governo > Site: http://www.softwarelivre.gov.br/plone > Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr > Lista: http://listas.interlegis.gov.br/mailman/listinfo/plonegov-br >
_______________________________________________ Comunidade Plone no Governo Site: http://www.softwarelivre.gov.br/plone Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr Lista: http://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
