各种plone修补程序,2013-06-18
Products.PloneHotfix20130618的Python项目详细描述
plone热修复,2013-06-18
这个修补程序修复了plone中的多个漏洞, 包括任意代码执行和权限提升。
此修补程序应应用于以下plone版本:
- plone<;=4.3.1
- plone<;=4.2.5
- 任何旧版本的plone,包括2.1、2.5、3.0、3.1、3.2、3.3、4.0和4.1
该修补程序由PLONE安全团队在 以下版本的plone与plone一致 version support policy:3.3.6、4.1.6、4.2.6、4.3和4.3.1。 不过,它也接受了一些旧版本plone的测试。 这里包含的修复将被合并到plone的后续版本中, 因此,plone 4.2.6、4.3.1及更高版本不需要此修补程序。
热修复版本
请注意,有1.3版的修补程序。版本1.0是 发现在PLONE2.1系统上和在 其他版本的plone。版本1.1还包含一些mintor问题。 如果你现在正准备安装修补程序或者 版本1.0或1.1的修补程序出现问题,请安装版本1.3。
问答
- q:如何确认修补程序安装正确,并且我的站点受到保护?
a:启动时,修补程序会将许多消息记录到zope事件日志中 像这样:
2013-06-18 21:15:26 INFO Products.PloneHotfix20130618 Applied typeswidget patch
尝试的补丁的确切列表取决于plone的版本。 如果尝试修补程序但失败,则会将其记录为警告 “无法应用”。这可能表明你有一个非标准的plone 安装。
- q:如何报告安装修补程序时出现的问题?
- a:联系位于security@plone.org的plone安全小组,或访问 #在Freenode IRC上打开频道。
- q:如何报告其他潜在的安全漏洞?
- a:请发邮件给security@plone.org的安全小组,而不是讨论 公开潜在的安全问题。
更改日志
1.3.1(2013-09-07)
- 修复旧版本plone可能存在的迭代问题
1.3(2013-06-27
- 在cb_解码补丁中修复
1.2(2013-06-27)
-
增加链接完整性所允许的最大大小
请求数据。
- 修复发布修补程序以使用正确的获取模块全局信息。 这样可以避免在使用 链路完整性检查。
- 修复邮件密码修补程序,以避免在 用户输入了错误的用户名。还有,通过 原始函数的关键字参数。
1.1(2013-06-13)
- 将SPAMProtect修复为仅在字符串出现时删除文本
- 修复getobject的问题
- 不要修补Bobo导线,因为这是不必要的
1.0(2013-06-18)
- Initial release