AnsweredAssumed Answered

BITTE LESEN: WICHTIGE MITTEILUNG ZUR SICHERHEIT

Question asked by bwerner on Jul 28, 2010
Dank Jeff Potts von Metaversant (http://www.metaversant.com), wurde Alfresco auf ein mögliches Sicherheitsproblem aufmerksam durch welches das JBPM Prozess Deployer Servlet ohne Authentikation läuft. Das bedeutet, dass ein gültiger Benutzer einen Workflow deployen kann, der ihm Zugriff mit Admin Rechten verschafft. Um diese Lücke nutzen zu können benötigt der Benutzer einen gültigen Account in Alfresco und ein tiefes, technisches Verständnis von Alfresco.

Alfresco hat die WAR file Konfiguration zur Beseitigung dieser Lücke identifiziert. Alfresco empfiehlt dringend die folgenden Instruktionen für alle 2.1, 2.2 und 3.x Systeme zu befolgen um die Sicherheitslücke zu schließen.

1. Erstellen Sie ein Backup-Verzeichnis und geben Sie ihm z.B. den Namen <ALFRESCOBACKUP> .
2. Kopieren Sie Ihr aktuell eingesetztes alfresco.war in dieses Verzeichnis.
3. Erstellen Sie ein leeres Verzeichnis und entpacken Sie das Backup Ihrer alfresco.war Datei in dieses Verzeichnis .

Für Linux

a) mkdir ~/alfresco
b) cd ~/alfresco
c) jar xvf <ALFRESCOBACKUP>/alfresco.war

Für Windows

a) mkdir C:\alfresco
b) cd /D C:\alfresco
c) jar xvf <ALFRESCOBACKUP>/alfresco.war

4. Editieren Sie in diesem neuen Verzeichnis (~/alfresco), die WEB-INF/web.xml Datei um die folgenden Zeilen auszukommentieren.
Änderung:

<servlet-mapping>
<servlet-name>JBPMDeployProcessServlet</servlet-name>
<url-pattern>/jbpm/deployprocess</url-pattern>
</servlet-mapping>

Zu:

<!–servlet-mapping>
<servlet-name>JBPMDeployProcessServlet</servlet-name>
<url-pattern>/jbpm/deployprocess</url-pattern>
</servlet-mapping–>


5. Erstellen Sie eine neue alfresco.war Datei indem Sie das Verzeichnis komprimieren.

Für Linux

a) cd ~/alfresco
b) jar cvf ../alfresco.war .

Für Windows

a) cd /D C:\alfresco
b) jar cvf ..\alfresco.war .

6. Deployen Sie die neue alfresco.war Datei unter Verwendung der Anweisung des jeweiligen Applikationsservers.
7. Überprüfen Sie, dass der Aufruf der URL http://<host:8080>/alfresco/jbpm/deployprocess einen Fehler 404 returniert.


Alfresco hat diese Änderung in alle Branches eingefügt um sicher zu stellen, dass alle zukünftigen Versionen diese Änderung beinhalten.

In Alfresco Version 3.3 SP3, kann das JBPM process deployer servlet über die alfresco-global.properties konfiguriert werden.

Die Lösung wurde gegen die Versionen 3.3 SP1, 3.2 SP2, 2.2 SP8 und 2.1 SP7 verifiziert.

Outcomes