Help

POR FAVOR LEIA COM ATENÇÃO: Mensagem Importante SEGURANÇA

cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
csaleh
Member II
‎26 Jul 2010 5:42 PM

POR FAVOR LEIA COM ATENÇÃO: Mensagem Importante SEGURANÇA

Pessoal,

Graças ao Jeff Potts da Metaversant ( http://www.metaversant.com), Alfresco foi informada de um risco em potencial de segurança onde o servlet do processo de deployer do jBPM roda sem autenticação. Isto signifca que um usuário válido pode instalar um workflow que garanta a ele acesso de admin ou similar. Lembrando que pra isto acontecer, o usuário precisa ser uma conta válida no sistema e ter um bom conhecimento técnico de Alfresco.

Alfresco identificou uma mudança na configuração de um arquivo WAR para eliminar este risco. Alfresco recomenda fortemente que você complete as instruções abaixo para qualquer sistema nas versões 2.1, 2.2, e 3.x para eliminar o risco.

1. Crie um diretorio de backup e dê um a ele um nome apropriado como .
2. Copie o seu arquivo alfresco.war que está instalado atualmente no seu servidor para este diretorio de backup.
3. Crie um novo diretório vazio e unzip seu arquivo de backup alfresco.war.

Para Linux

a) mkdir ~/alfresco
b) cd ~/alfresco
c) jar xvf /alfresco.war

Para Windows

a) mkdir C:alfresco
b) cd /D C:alfresco
c) jar xvf /alfresco.war

4. Neste novo diretorio (~/alfresco), edite o arquivo  WEB-INF/web.xml para comentar as seguintes linhas.
Mude:


JBPMDeployProcessServlet
/jbpm/deployprocess


para:


JBPMDeployProcessServlet
/jbpm/deployprocess



5. Zip este diretorio para criar um novo alfresco.war.

Para Linux

a) cd ~/alfresco
b) jar cvf ../alfresco.war .

Para Windows

a) cd /D C:alfresco
b) jar cvf ..alfresco.war .

6. Instale o novo alfresco.war usando as instruções apropriadas para o seu servidor de aplicação.
7. Confirme que acessando a URL http:///alfresco/jbpm/deployprocess returne um pagina com erro 404.

Alfresco aplicou esta configuração a todos os hotfix disponíveis, para ter certeza que todos os futuros patches e service packs incluem a mudança.

Naversão 3.3 SP3 do Alfresco será possível habilitar a configuração do servlet do JBPM  através do arquivo alfresco-global.properties. Veja a documentação na Network para maiores detalhes.

Esta solução foi verificada nas versões  3.3 SP1, 3.2 SP2, 2.2 SP8, and 2.1 SP7.

Obrigada.
0 Kudos
3 Replies
m171c0
Member II
‎29 Dec 2010 1:08 AM

Re: POR FAVOR LEIA COM ATENÇÃO: Mensagem Importante SEGURANÇA

Curso alfresco online

Vale a pena !!!
Um curso otimo , economico e se aprende muito,os professores conhecem muito , eu indico !!!!

Link do curso
http://www.openyoursource.com/portal/?q=node/117

Abraços,
0 Kudos
imperador
Member II
‎12 May 2011 4:37 PM

Re: POR FAVOR LEIA COM ATENÇÃO: Mensagem Importante SEGURANÇA

Olá, gostaria de saber se esse risco em potencial de segurança, foi corrigido na versão 3.4.
Antecipadamente agradeço,
Sergio Imperador
0 Kudos
williamsilva
Established Member II
‎12 May 2011 5:29 PM

Re: POR FAVOR LEIA COM ATENÇÃO: Mensagem Importante SEGURANÇA

onde o servlet do processo de deployer do jBPM roda sem autenticação. Isto signifca que um usuário válido pode instalar um workflow que garanta a ele acesso de admin ou similar. Lembrando que pra isto acontecer, o usuário precisa ser uma conta válida no sistema e ter um bom conhecimento técnico de Alfresco.
Atualmente estamos na versão Community  3.4.d e nas próximas versões o jBPM será substituido pelo Activiti BPM.
sds.
0 Kudos
The Archive

Content from pre 2016 and from language groups that have been closed.

Content is read-only.

We use cookies on this site to enhance your user experience

By using this site, you are agreeing to allow us to collect and use cookies as outlined in Alfresco’s Cookie Statement and Terms of Use (and you have a legitimate interest in Alfresco and our products, authorizing us to contact you in such methods).   If you are not ok with these terms, please do not use this website.