PLONE安全修补程序寻址CVE 2011-0720
Products.PloneHotfix20110720的Python项目详细描述
这是一个关键的安全修补程序,应该应用于 plone的版本:
- 扑通一声4<;=4.0.3
- 扑通一声3<;=3.3.5
- plone 2.5、2.1或2.0的任何版本
plone>;=4.0.4不需要此修补程序。
有关修补程序的其他信息,包括常见问题 可在http://plone.org/products/plone/security/advisories/cve-2011-0720
此修补程序应用以下修改以提高plone安全性:
- 将安全声明应用于某些缺少它们的方法,顺序如下 以解决CVE 2011-0720中标识的漏洞。脆弱性 讨论了影响倍体2.5和更大。
- 对一些附加的 PLONE安全小组在以下审计中确定的方法 CVE 2011-0720的标识。这包括plone中的一些方法 2.0和2.1。
- 如有必要,向zpublisher应用修补程序以修复检查中的问题 遍历的方法是否可发布。此问题影响PLONE3.0和 更高版本,并在以下新的Zope2版本中提供: 2.10.13、2.11.8、2.12.15、2.13.4
更改日志
1.2(2011-02-26)
注意:与1.0和 1.1释放。它只是解决了一个妨碍尊重的问题。 在某些情况下分配角色。因此,这是一个可选的升级,除非您 经历过这个问题。
- 使用PermissionRoles而不是硬编码的角色列表保护方法,因此 zope将尊重对权限的角色分配。 [大卫萨格里]
- 澄清启动时打印的信息,以便人们不必担心 他们的zope版本没有被识别。 [大卫萨格里]
1.1(2011-02-08)
注意:与1.0相比,此版本不提供额外的安全性 释放。它只修复了2个安装问题。如果1.0安装得很好, 你不需要更新。
- 尝试两种删除docstring的方法,因为我们有一个报告 使用不工作(感谢andrew mleczko的报告)。 [大卫萨格里]
- 修复Zope2.10的一些最新版本的应用程序的问题。多亏了 伊森·朱科维提醒我们注意这件事。 [大卫萨格里]
1.0(2011-02-08)
- 初次发行 [扑通一声保安小组]