各种plone修补程序,2012-11-06
Products.PloneHotfix20121106的Python项目详细描述
plone热修复,2012-11-06
这个修补程序修复了plone中的多个漏洞, 包括任意代码执行和权限提升。
此修补程序应应用于以下plone版本:
#扑通一声4.3<;=4.3a2 *扑通一声4.2<;=4.2.2 *任何旧版本的plone,包括2.1、2.5、3.0、3.1、3.2、3.3、4.0和4.1
该修补程序由PLONE安全团队在 以下版本的plone与plone一致 version support policy:3.3.6、4.1.6和4.2.2。 不过,它也接受了一些旧版本plone的测试。 这里包含的修复将被合并到plone的后续版本中, 因此plone 4.2.3、4.3b1及更高版本不需要此修补程序。
问答
- q:如何确认修补程序安装正确,并且我的站点受到保护?
a:启动时,修补程序会将许多消息记录到zope事件日志中 像这样:
2012-11-05 21:15:26 INFO Products.PloneHotfix20121106 Applied registerConfiglet patch
尝试的补丁的确切列表取决于plone的版本。 如果尝试修补程序但失败,则会将其记录为警告 “无法应用”。这可能表明你有一个非标准的plone 安装。
- q:如何报告安装修补程序时出现的问题?
- a:联系位于security@plone.org的plone安全小组,或访问 #在Freenode IRC上打开频道。
- q:如何报告其他潜在的安全漏洞?
- a:请发邮件给security@plone.org的安全小组,而不是讨论 公开潜在的安全问题。
- q:通过ftp访问站点根目录时,出现“列出失败”错误。
- a:这可能是因为您试图使用plone用户访问 站点根目录。你可以继续把根目录列为根目录,zope 用户,或将初始目录设置为plone站点的id。
变更日志
1.2(2012-11-07)
- Fix rare cases where allow_module patch was not successfully applied, depending on module import order. This affects security the security of RestrictedPython.
- Add try/except for a Plone import in the getToolByName fix at the request of some CMF users. This corrects a log message in CMF sites and has no security implications.
- Include the object name in the exception raised by getToolByName if a non-tool is found. This is for aiding debugging and has no security implications.
- Allow the Factory Tool’s Faux Archetype Tool to be returned by getToolByName. This fixes problems with creating content when combined with some custom code, it has no security implications.
- Re-fixed FTP patch to allow publication of FTP listing method. This has no security implications.
1.1(2012-11-06)
- Fix crypto_oracle_protect patch. Fixes an error affecting users running Plone 3.x and also having the hashlib python package installed.
- Fix safe_html patch. Affects users running Plone 2.5.2 only.
- Fix FTP patch. Fixes an inadvertent breakage of Zope’s FTP functionality. Affects all versions.
1.0(2012-11-06)
- Initial release