LILDBI-WEB-proteccion

De Wiki REDDES

--> Esta página em Português --> This page in English

Esa página es destinada a los usuarios e administradores de sistemas de instituciones que utilizan la aplicación LILDBI-WEB para la gestión de sus fuentes de información referencial.

Teniendo en cuenta que en 21/06/2010 el equipo de BIREME/OPAS/OMS se identifico una vulnerabilidad de seguridad que puede ser explotada en esa aplicación, solicitamos que los administradores de sistemas lean con atención la información aquí descrita y sigan las instrucciones recomendadas.

Tabla de contenidos

Sitios Afectados

La prioridad de esos procedimientos a seguir son indicados para las instancias de LILDBI-WEB con aceso publico en Internet/Intranet.

Justificación

Por cuestiones de vulnerabilidad del sistema, estamos solicitando a todos los administradores de sistemas de la aplicación algunos procedimientos en el servidor donde el LILDBI-WEB está instalado, con la finalidad de mejorar el proceso de upload de documentos, importación de registros e visualización del archivos.

Procedimento

1 - Protección de los directorios

Quitar el permiso de escrita e ejecución en el directorio del DocumentRoot y sus subdirectorios incluyendo sus ficheros.

Linux:

find ./htdocs -type d | xargs -i echo \"{}\" | xargs chmod 555
find ./htdocs -type f | xargs -i echo \"{}\" | xargs chmod 544

Windows: ver LILDBI-WEB-protecao-WIN

2 - Inhabilitar el upload y importación de archivos

Sustituir los archivos PHP de su aplicación LILDBI-WEB por lo que estamos enviando en adjunto. Esos archivos deberán ser descomprimidos en la carpeta llamada lildbi/ de la instancia donde la su aplicación está instalada.

Enlace para los archivos:

Linux

Windows


Linux:

cd lildbi
tar xvzfp lildbi_linux_indisp.tar.gz

Windows: ver LILDBI-WEB-protecao-WIN

Con esos procedimientos las funcionalidades de upload de documento y importación de los archivos ISO se quedarán sin funcionar, informando un mensaje de “temporariamente indisponible” hasta que nosotros enviemos los archivos ya actualizados sin problemas de vulnerabilidad.

3 - Próximas Etapas

Herramientas personales