解决CVE 2011-0720的Plone安全补丁
项目描述
这是一个关键的补丁,应该应用于以下版本的Plone
Plone 4 <= 4.0.3
Plone 3 <= 3.3.5
Plone 2.5、2.1 或 2.0 的任何版本
此热补丁对于 Plone >= 4.0.4 不需要。
有关热补丁的更多信息,包括常见问题解答,可在以下网址找到:http://plone.org/products/plone/security/advisories/cve-2011-0720
此热补丁对 Plone 安全性进行了以下修改
将安全声明应用于一些缺少它们的方法,以解决在 CVE 2011-0720 中确定的问题。该漏洞影响 Plone 2.5 及更高版本。
将安全声明和移除文档字符串应用于 Plone 安全团队在 CVE 2011-0720 确定后审计中确定的一些额外方法。这包括 Plone 2.0 和 2.1 中的一些方法。
如有必要,对 ZPublisher 应用补丁以修复检查遍历方法是否可发布的问题。此问题影响 Plone 3.0 及更高版本,也存在于以下新的 Zope2 版本中:2.10.13、2.11.8、2.12.15、2.13.4
安装
安装说明可在以下网址找到:http://plone.org/products/plone-hotfix/releases/CVE-2011-0720
变更日志
1.2 (2011-02-26)
注意:此版本与 1.0 和 1.1 版本相比没有提供额外的安全性。它仅修复了在某些情况下阻止尊重分配的角色的问题。因此,除非您遇到此问题,否则这是一个可选的升级。
使用 PermissionRoles 而不是硬编码的角色列表来保护方法,以便 Zope 尊重权限的角色分配。[davisagli]
澄清启动时打印的信息,以免人们担心他们的 Zope 版本未识别。[davisagli]
1.1 (2011-02-08)
注意:此版本与 1.0 版本相比没有提供额外的安全性。它仅修复了 2 个安装问题。如果 1.0 为您安装顺利,则不需要更新。[davisagli]
尝试两种删除文档字符串的方法,因为我们收到一份报告称我们使用的方法不起作用(感谢 Andrew Mleczko 的报告)。[davisagli]
修复了应用某些 Zope 2.10 新修订版的问题。感谢 Ethan Jucovy 将此问题提请我们注意。[davisagli]
1.0 (2011-02-08)
首次发布 [Plone 安全团队]
下载文件
下载适用于您的平台的文件。如果您不确定选择哪一个,请了解更多关于 安装软件包 的信息。
源分布
Products.PloneHotfix20110720-1.2.zip 的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | aa40b0bea88d3c4d201604c8b65ca12791bf6fd3fa9542694f1f2139cb247010 |
|
| MD5 | 8e2bc370f39c5aafa7ea7ddc81ccfc8f |
|
| BLAKE2b-256 | cf17ed80608dfb3f22200d706250d55d0b044cb60c97a99426d42f4a2180260b |
