A seguito di una segnalazione ricevuta, relativa ad una vulnerabilità di sicurezza, abbiamo ritenuto necessario produrre una versione intermedia CMDBuild 3.3.3 che risolve il problema.

La segnalazione si riferisce alla gestione delle password e si presenta nella versione 3.0 e successive.

Suggeriamo a tutti gli utilizzatori di CMDBuild, CMDBuild READY2USE e openMAINT di provvedere quanto prima all'aggiornamento delle applicazioni, ed eventualmente ad anticipare la data di scadenza delle password utilizzate nell'applicazione per una maggiore tutela.

La descrizione della vulnerabilità sarà pubblicata, su questa stessa pagina, lunedì 10 gennaio, per dare il tempo a tutti di installare la nuova versione.

Per tutte le istanze degli utilizzatori che hanno una Subscription attiva, è già stata applicata una patch che risolve il problema.  Inoltre Tecnoteca provvederà a proporre l'aggiornamento alla versione CMDBuild 3.3.3, contattandoli direttamente. 

------

Descrizione della vulnerabilità (10/01/2022)

A supporto di eventuali necessità di debug, le applicazioni basate sulla piattaforma CMDBuild archiviano in una tabella del DB PostgreSQL, soggetta a meccanismo di “rotate”, le chiamate delle API REST / SOAP che eseguono le operazioni effettuate sul sistema, incluse quelle corrispondenti alle richieste fatte dall'interfaccia utente ed i particolare la richiesta di login.

Le chiamate delle API REST / SOAP, nel livello di log di default eventualmente modificabile dall'amministratore del sistema, vengono archiviate assieme ai relativi parametri.

Le versioni precedenti alla attuale CMDBuild 3.3.3 non escludevano dalla archiviazione, nel caso della API di login, il parametro relativo alla password digitata dall'utente.

Il problema non si verificava nel caso di login con SSO (Single Sign On), dal momento che in quel caso l'utente digita la password non sulla form di CMDBuild ma su una form di autenticazione di rete.

Le password archiviate in tal modo nel database PostgreSQL potevano essere accessibili all'amministratore del database tramite query SQL eseguite da linea di comando sul database server o utilizzando un programma client abilitato in modo esplicito alla connessione al database server.