Une petite info qui nous vient d’un de nos contacts chez Alfresco. Doc4web s’est permis de traduire pour vous cette information :

Merci à Jeff Potts (Metaversant) qui à informé Alfresco d’une potentielle faille de sécurité concernant le servlet de deploiement de processus jBPM. Celui-ci peut être utilisé sans authentification. Un utilisateur avec un compte valide peut déployer un workflow permettant par exemple de s’attribuer les droits administrateur. Cependant, cette faille nécessite un compte utilisateur valide et une bonne maitrise d’Alfresco.

Alfresco a identifié une modification à réaliser dans les fichiers de configuration du WAR. Alfresco recommande fortement d’accomplir cette modification pour toute version 2.1, 2.2 et 3.x pour éliminer le risque potentiel.

• Créez un répertoire de sauvegarde, (ex:
• Copiez le fichier alfresco.war actuellement en production dans ce répertoire nouvellement créé.
• Créez un sous répertoire (ex: alfresco) et décompressez le fichier alfresco.war dans celui-ci
  a) mkdir ~/alfresco
  b) cd ~/alfresco
  c) jar xvf /alfresco.war
• dans ce nouveau répertoire, éditez le fichier WEB-INF/web.xml pour commenter les lignes suivantes :
  Remplacez: <servlet-mapping>
<servlet-name>JBPMDeployProcessServlet</servlet-name>
<url-pattern>/jbpm/deployprocess</url-pattern>
</servlet-mapping>

  Par:
<!--servlet-mapping>
<servlet-name>JBPMDeployProcessServlet</servlet-name>
<url-pattern>/jbpm/deployprocess</url-pattern>
</servlet-mapping–>
• Recompressez le répertoire pour recréer un fichier alfresco.war.
  a) cd ~/alfresco
  b) jar cvf ../alfresco.war
• Déployez le nouveau fichier alfresco.war en respectant les manipulations recommandées pour votre serveur d’application.
• Pour vérifier la modification, déconnectez vous de votre session Alfresco (desactivez le SSO si nécessaire) et connectez vous à l’adresse http://mon_adresse_alfresco:port/alfresco/jbpm/deployprocess ; une page d’erreur 404 doit apparaitre. Si ce n’est pas le cas, vérifiez d’avoir bien suivi toutes les étapes.

Alfresco a appliqué cette configuration à toutes les branches, tout futur correctif, mise à jour, ou service pack incluera cette modification.
Pour Alfresco 3.3 SP3, vous pourrez configurer le servlet de deploiement des processus jBPM à travers le fichier de configuration général, alfresco-global.properties.
Nous vous invitons à consulter la documentation sur network.alfresco.com pour plus de détails une fois cette version à disposition.

Cette solution à été validée sur Alfresco 3.3 SP1, Alfresco 3.2 SP2, Alfresco 2.2 SP8 et Alfresco 2.1 SP7

Chez Alfresco, nous prenons au sérieux la sécurité de nos produits et nous vous demandons de nous excuser pour ce désagrément.

Un grand merci à Barry Duplantis de communiquer sur ce sujet sensible.