Startseite

Wichitger Sicherheitshinweis für Alfresco 4.0

Sie sind hier

1 Beitrag / 0 neu
Wichitger Sicherheitshinweis für Alfresco 4.0

Mit der Alfresco 4.0.1 wird ein Fix für zwei kritische Sicherheitsprobleme ausgeliefert.
Die beiden behobenen Probleme sind:

SORL REST API ermöglicht unauthentifizierten Zugriff auf Inhalte (ALF-13721)
Ausführung von Remote Code über Web Script XSLT Prozessor möglich (ALF-13726)

Falls Sie Anwender der Enterprise Edition sind wurden Sie bereit direkt zu diesen Themen kontaktiert und haben alle nötigen Informationen bereits vorliegen. Beide Probleme sind mit der 4.0.1 gefixed.

Für alle Anwender der Community Edition wird der Fix mit dem nächsten Community Drop ausgeliefert. Bis zu diesem Zeitpunkt können Sie die beiden Punkte mit folgenden Informationen behandeln:

1. SORL REST API ermöglicht unauthentifizierten Zugriff auf Inhalte

Es wurde eine Lücke entdeckt, die bedeutet, dass HTTP Zugriffe auf Repository APIs über die Pfade /alfresco/s/api/solr, /alfresco/wcservice/api/solr und /alfresco/wcs/api/solr, ohne Absicherung durch das SOLR SSL Zertifikat erfolgen können, was potentiell von unauthentifizierten Benutzern dazu verwendet werden kann Informationen aus dem Repository zu erhalten.
Dieses Verhalten ist unabhängig davon, ob SOLR für die Suche konfiguriert ist oder nicht.

Dieses Problem ist einfach, durch das Hinzufügen einiger XML Konfigurationen in der web.xml, zu lösen. In der web.xml finden Sie ein security-constraint Element welches den "/service/api/solr" Pattern abdeckt. Das Problem besteht darin, dass das Web Script über verschiedene, andere Pattern ebenso erreichbar ist, die nicht von den scurity-constraints abgedeckt sind.

<security-constraint>
      <web-resource-collection>
         <web-resource-name>SOLR</web-resource-name>
         <url-pattern>/service/api/solr/*</url-pattern>
      </web-resource-collection>
 
      <auth-constraint>
         <role-name>repoclient</role-name>
      </auth-constraint>
 
      <user-data-constraint>
         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
   </security-constraint>
Sie können diese Zugriffe verhindern, indem Sie folgende security constraints hinzufügen:
<security-constraint>
      <web-resource-collection>
         <web-resource-name>SOLR</web-resource-name>
         <url-pattern>/s/api/solr/*</url-pattern>
      </web-resource-collection>
 
      <auth-constraint>
         <role-name>repoclient</role-name>
      </auth-constraint>
 
      <user-data-constraint>
         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
   </security-constraint>
 
   <security-constraint>
      <web-resource-collection>
         <web-resource-name>SOLR</web-resource-name>
         <url-pattern>/wcservice/api/solr/*</url-pattern>
      </web-resource-collection>
 
      <auth-constraint>
         <role-name>repoclient</role-name>
      </auth-constraint>
 
      <user-data-constraint>
         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
   </security-constraint>
 
   <security-constraint>
      <web-resource-collection>
         <web-resource-name>SOLR</web-resource-name>
         <url-pattern>/wcs/api/solr/*</url-pattern>
      </web-resource-collection>
 
      <auth-constraint>
         <role-name>repoclient</role-name>
      </auth-constraint>
 
      <user-data-constraint>
         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
   </security-constraint>

2. Ausführung von Remote Code über Web Script XSLT Processor möglich

Bisher ermöglichte der Alfresco XSLT Processor die Verwendung von XSLT Templates via Web Scripts und Web Forms, um über die Apache Xalan Extensions beliebige Java Methoden aufzurufen.
Dies kann als Sicherheitslücke von jedem ausgenutzt werden, der über die Berechtigung verfügt Web Scripts oder XSLT Templates hoch zu laden. Ab sofort wird die Verwendung von anderen Extension Namespaces als der vorgegebene Alfersco "alf" Namespace unterbunden.

Mit dem Fix kann die Xalan Extension keine beliebigen Methoden mehr aufrufen, da nur mehr die Alfresco Extensions erlaubt sind.
Falls es für Sie nötig ist, Ihre eigenen Java Methoden über eine Xalan Extension aufzurufen, können Sie den XSLT Processor immer noch so konfigurieren, dass dieses ermöglicht wird.

Der Code für diesen Fix ist in Jira abgelegt. Das sollte es Ihnen ermöglichen das JAR zu patchen, falls Sie nicht auf den nächsten Community Edition Drop warten können.

Bernhard Werner
Senior Solutions Engineer D-A-CH