LILDBI-WEB-protecao
De Wiki REDDES
--> This page in English --> Esta página en Español
Esta página é destinada aos usuários e administradores de sistemas das instituições que utilizam a aplicação LILDBI-WEB para gestão de suas fontes de informação referencial.
A considerar que em 21/06/2010 a equipe da BIREME/OPAS/OMS identificou uma vulnerabilidade de segurança que pode ser explorada nessa aplicação, solicitamos que os administradores de sistemas leiam com atenção a informação aqui descrita e sigam as instruções recomendadas.
Tabla de contenidos |
Sites Afetados
A prioridade desses procedimentos a seguir são indicados para instâncias do LILDBI-WEB publicamente acessíveis na Internet/Intranet.
Justificativa
Por questões de vulnerabilidade do sistema, estamos solicitando a todos os administradores de sistemas dessa aplicação alguns procedimentos no servidor aonde o LILDBI-WEB está instalado, com a finalidade de melhorar o processo de upload de documentos, importação de registros e visualização de arquivos.
Procedimento
1 - Proteger diretórios
Retirar a permissão de escrita e execução no diretório do DocumentRoot e seus subdiretórios incluindo seus arquivos conforme segue:
Linux:
find ./htdocs -type d | xargs -i echo \"{}\" | xargs chmod 555
find ./htdocs -type f | xargs -i echo \"{}\" | xargs chmod 544
Windows: ver LILDBI-WEB-protecao-WIN
2 - Desabilitar upload e importação de arquivos
Substituir os arquivos PHP do seu aplicativo LILDBI-WEB pelo que estamos enviando em anexo. Esse arquivo deverá ser descompactado na pasta chamada lildbi/ da instância onde a sua aplicação está instalada.
Link para os arquivos:
Linux:
cd lildbi tar xvzfp lildbi_linux_indisp.tar.gz
Windows: ver LILDBI-WEB-protecao-WIN
Com esse procedimento, as funcionalidades de upload de documento e importação de arquivos ISO ficarão inoperantes, emitindo a mensagem de “temporariamente indisponível” até enviarmos os arquivos já atualizados sem problemas de vulnerabilidade.
