Kritische Lücke in Zope und Plone (20130618)

Eine kritische Sicherheitslücke in Plone erlaubt es unter anderem höhere Rechte zu erlangen. Betroffen sind alle Versionen. Ein Patch ist für Dienstag, den 18. Juni 2013 angekündigt.

Weitere Details zu der Lücke werden vom Plone Security Team zusammen mit einem Hotfix in der kommenden Woche am Dienstag, den 18. Juni 2013 gegen 17:00 Uhr deutscher Zeit veröffentlicht.

Es wird empfohlen den Hotfix zeitnah einzuspielen. Bis zum Erscheinen des Patches werden folgende Schritte empfohlen:

  • Ausführen von Zope und Plone mit minimalen Rechten
  • Installation eines Intrusion Detection System
  • Überwachung der Log-Dateien

Weitere Informationen zu der Lücke finden Sie in dem Security Advisory auf plone.org.

Update

Die Veröffentlichung des Hotfixes wurde wegen Problemen mit download.zope.org, einem Server, der von den meisten Nutzern in ihren Buildouts verwendet wird, um eine Woche auf Dienstag, den 18. Juni 2013 verschoben.

Update

Der Hotfix wurde auf allen von operun betreuten System am späten Nachmittag des 18. Juni 2013 eingespielt.