Pessoal, bom dia!
Após a instalação da nova versão estamos com problema de acesso a alguns documentos.
Alguém pode ajudar?
Segue log:
'Usuário: m293837/EMBRAPA
Servidor: muruci.sede.embrapa.br (10.170.21.204)
Erro: Documento possui conteúdo não permitido (0627026).
Detalhes:
Nível A.
Trilha de Processamento:
0 /opt/v3010/sei/web/editor/rn/EditorRN.php(1737): SeiINT::validarXss('consultarHtmlVersaoConectado(Object(EditorDTO))
2 /opt/v3010/infra/infra_php/InfraRN.php(140): call_user_func(Array, Object(EditorDTO))
3 /opt/v3010/sei/web/documento_visualizar.php(105): InfraRN->__call('consultarHtmlVe...', Array)
4 /opt/v3010/sei/web/documento_visualizar.php(105): EditorRN->consultarHtmlVersao(Object(EditorDTO))
5 /opt/v3010/sei/web/controlador.php(257): require_once('/opt/v3010/sei/...')
6 {main}
Navegador: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0
GET:
Array
(
[acao] => documento_visualizar
[acao_origem] => procedimento_visualizar
[id_documento] => 728788
[arvore] => 1
[infra_sistema] => 100000100
[infra_unidade_atual] => 110001757
[infra_hash] => 86528eff52d725a293e1d87c658a1f36d166cbc584c807b9b3876387cc9b1547
)
POST:
Array
(
)
'
Lânia Marcia de Almeida
Supervisora de Gestão Eletrônica de Documentos e Arquivística (GEDA)
Gerência de Comunicação e Informação
Secretaria Geral (SGE)
Empresa Brasileira de Pesquisa Agropecuária (Embrapa)
Brasíla/DF
lania.almeida@embrapa.br
Telefone: +55 (61) 3448-1986 | Celular: +55 (61) 99974-9291
www.embrapa.br | fb.com/embrapa | twitter.com/embrapa
----- Mensagem original -----
De: "Uelinton Lima Silva"
Para: "Equipe SEI"
Cc: "Sei tecnico"
Enviadas: Quinta-feira, 5 de abril de 2018 17:55:00
Assunto: [sei-tecnico] RES: RES: Ref. e-mail de alerta sobre vulnerabilidade do SEI
O cópia e cola de um documento word gera código malicioso ?
Uelinton Lima Silva
Analista de Correios Sr
CS/VITEC/DEREL/GRCO
ULima@correios.com.br
(61) 2141-9548/400-9548
De: Equipe SEI [mailto:equipeseicoppe@gmail.com]
Enviada em: quinta-feira, 5 de abril de 2018 17:03
Para: Uelinton Lima Silva
Cc: Tiago Lopes de Aguiar; Sei tecnico
Assunto: Re: [sei-tecnico] RES: Ref. e-mail de alerta sobre vulnerabilidade do SEI
Não, Uelinton.
O foco é em encontrar scripts maliciosos dentro de quaisquer documentos. Podem ser encontrados tanto nos gerados como nos externos.
Atenciosamente,
Victor Hugo Lobo Alves
Ministério do Planejamento, Desenvolvimento e Gestão
Equipe SEI - CAPGov/COPPE/UFRJ
2018-04-05 16:59 GMT-03:00 Uelinton Lima Silva < ULima@correios.com.br >:
Quando colocamos o nível de verificação avançado os vários documentos internos apresentam o erro
O foco da correção não seria apenas os documentos externos ?
Uelinton Lima Silva
Analista de Correios Sr
CS/VITEC/DEREL/GRCO
ULima@correios.com.br
(61) 2141-9548/400-9548
De: sei-tecnico [mailto: sei-tecnico-bounces@listas.softwarepublico.gov.br ] Em nome de Equipe SEI
Enviada em: quinta-feira, 5 de abril de 2018 16:21
Para: Tiago Lopes de Aguiar
Cc: Sei tecnico
Assunto: Re: [sei-tecnico] RES: Ref. e-mail de alerta sobre vulnerabilidade do SEI
Obrigado pela sugestão, Tiago.
Já repassei a informação adiante.
Atenciosamente,
Victor Hugo Lobo Alves
Ministério do Planejamento, Desenvolvimento e Gestão
Equipe SEI - CAPGov/COPPE/UFRJ
2018-04-05 15:05 GMT-03:00 Tiago Lopes de Aguiar < tiago.aguiar@fazenda.gov.br >:
Prezados,
Aqui no Ministério da Fazenda, começamos os testes da versão 3.0.10 em ambiente de homologação. Testando várias combinações de configuração da chave “XSS” no arquivo de configuração do SEI me deparei com o seguinte problema:
Caso o usuário preencha a chave “TagsPermitidas” com um Array contendo alguma tag (Ex: TagsPermitidas => array (“minhatag”)), quando o NivelVerificacao = ‘A’, todos os documentos nativos do SEI passam a ser recusados.
Analisando o código-fonte, descobri o problema:
Na linha 254 do arquivo “SeiInt.php” encontra-se a seguinte linha de código:
· $arrXssAvancadoTagsPermitidas = $arrXssAvancado['TagsPermitidas'];
A linha acima sobrescreve os valores iniciais da variável “$arrXssAvancadoTagsPermitidas” setados na linha 245 do mesmo arquivo.
Para evitar sobrescrever a variável e considerar as novas tags inseridas pelo usuário no parâmetro “TagsPermitidas”, sugiro que a referida linha seja substituída por:
· $arrXssAvancadoTagsPermitidas = array_merge($arrXssAvancadoTagsPermitidas,$arrXssAvancado['TagsPermitidas']);
Atenciosamente,
cid:48633133ec6b80984ebf8f57076489d5
Tiago Lopes de Aguiar
Auditor Federal de Finanças e Controle
Coordenação-Geral de Tecnologia da Informação (COGTI)
Ministério da Fazenda | Secretaria Executiva
Tel: +55 (61) 2021-5273
E-mail: tiago.aguiar@fazenda.gov.br
Endereço: Esplanada dos Ministérios, Bloco F,
Anexo A, 2° andar, sala 259
Brasília - DF - CEP: 70059-900
De: sei-tecnico [mailto: sei-tecnico-bounces@listas.softwarepublico.gov.br ] Em nome de Equipe SEI
Enviada em: quinta-feira, 5 de abril de 2018 12:31
Para: Cristiano José Müller < cristiano.muller@procempa.com.br >
Cc: Sei tecnico < sei-tecnico@listas.softwarepublico.gov.br >
Assunto: Re: [sei-tecnico] RES: Ref. e-mail de alerta sobre vulnerabilidade do SEI
Boa tarde, Cristiano.
As recomendações estão descritas no documento SEI-v3.0.10-XSS.pdf, presente no download da versão 3.0.10 do SEI neste link: https://softwarepublico.gov.br/social/sei/versoes-estaveis/versoes
NÃO é recomendado o uso da flag N para NivelVerificacao. O recomendável é o valor padrão A, mas pode ser utilizado inicialmente o valor B. Veja documentação (segue também em anexo).
Atenciosamente,
Equipe SEI COPPE
Ministério do Planejamento, Desenvolvimento e Gestão
Equipe SEI - CAPGov/COPPE/UFRJ
2018-04-04 18:10 GMT-03:00 Cristiano José Müller < cristiano.muller@procempa.com.br >:
Prezados,
Qual é a recomendação de implantação dessa versão ?
Notei que ela faz uma varredura a fundo no conteúdo dos documentos. Temos documentos aqui que estão sendo barrados se no seu conteúdo tiver comentário HTML (