AnsweredAssumed Answered

POR FAVOR LEIA COM ATENÇÃO: Mensagem Importante SEGURANÇA

Question asked by csaleh on Jul 26, 2010
Latest reply on May 12, 2011 by williamsilva
Pessoal,

Graças ao Jeff Potts da Metaversant ( http://www.metaversant.com), Alfresco foi informada de um risco em potencial de segurança onde o servlet do processo de deployer do jBPM roda sem autenticação. Isto signifca que um usuário válido pode instalar um workflow que garanta a ele acesso de admin ou similar. Lembrando que pra isto acontecer, o usuário precisa ser uma conta válida no sistema e ter um bom conhecimento técnico de Alfresco.

Alfresco identificou uma mudança na configuração de um arquivo WAR para eliminar este risco. Alfresco recomenda fortemente que você complete as instruções abaixo para qualquer sistema nas versões 2.1, 2.2, e 3.x para eliminar o risco.

1. Crie um diretorio de backup e dê um a ele um nome apropriado como .
2. Copie o seu arquivo alfresco.war que está instalado atualmente no seu servidor para este diretorio de backup.
3. Crie um novo diretório vazio e unzip seu arquivo de backup alfresco.war.

Para Linux

a) mkdir ~/alfresco
b) cd ~/alfresco
c) jar xvf /alfresco.war

Para Windows

a) mkdir C:alfresco
b) cd /D C:alfresco
c) jar xvf /alfresco.war

4. Neste novo diretorio (~/alfresco), edite o arquivo  WEB-INF/web.xml para comentar as seguintes linhas.
Mude:


JBPMDeployProcessServlet
/jbpm/deployprocess


para:


JBPMDeployProcessServlet
/jbpm/deployprocess



5. Zip este diretorio para criar um novo alfresco.war.

Para Linux

a) cd ~/alfresco
b) jar cvf ../alfresco.war .

Para Windows

a) cd /D C:alfresco
b) jar cvf ..alfresco.war .

6. Instale o novo alfresco.war usando as instruções apropriadas para o seu servidor de aplicação.
7. Confirme que acessando a URL http:///alfresco/jbpm/deployprocess returne um pagina com erro 404.

Alfresco aplicou esta configuração a todos os hotfix disponíveis, para ter certeza que todos os futuros patches e service packs incluem a mudança.

Naversão 3.3 SP3 do Alfresco será possível habilitar a configuração do servlet do JBPM  através do arquivo alfresco-global.properties. Veja a documentação na Network para maiores detalhes.

Esta solução foi verificada nas versões  3.3 SP1, 3.2 SP2, 2.2 SP8, and 2.1 SP7.

Obrigada.

Outcomes