各种Plone热修复,2012-11-06
项目描述
Plone热修复,2012-11-06
此热修复修复了Plone中的多个漏洞,包括任意代码执行和权限提升。
此热修复应应用于以下版本的Plone
# Plone 4.3 <= 4.3a2 * Plone 4.2 <= 4.2.2 * 包括2.1、2.5、3.0、3.1、3.2、3.3、4.0和4.1在内的任何旧版本Plone
该补丁由Plone安全团队在以下版本的Plone上正式支持,遵循Plone的版本支持策略:3.3.6、4.1.6和4.2.2。但是,它也已在较旧的Plone版本上进行了一些测试。这里包含的修复将纳入Plone后续版本中,因此Plone 4.2.3、4.3b1及更高版本不应需要此补丁。
安装
安装说明可在http://plone.org/products/plone-hotfix/releases/20121106找到。
Q&A
- Q:我如何确认补丁已正确安装,并且我的网站受到保护?
A:启动时,补丁将在Zope事件日志中记录许多类似以下的消息
2012-11-05 21:15:26 INFO Products.PloneHotfix20121106 Applied registerConfiglet patch
尝试应用的补丁的精确列表取决于Plone的版本。如果尝试应用补丁但失败,它将记录为一条警告,表示“无法应用”。这可能表明您有一个非标准的Plone安装。
- Q:我如何报告安装补丁时的问题?
A:请联系Plone安全团队 security@plone.org,或访问freenode IRC上的#plone频道。
- Q:我如何报告其他潜在的安全漏洞?
A:请通过电子邮件将安全团队 security@plone.org 而不是公开讨论潜在的安全问题。
- Q:当我通过FTP访问网站的根目录时,我得到一个‘failed to LIST’错误。
A:这可能是因为您正在尝试使用Plone用户访问网站根目录。您可以继续以根、Zope用户或设置您的初始目录为Plone网站ID的方式列出根目录的内容。
变更日志
1.2 (2012-11-07)
修复了在某些情况下allow_module补丁未成功应用的情况,具体取决于模块导入顺序。这影响了RestrictedPython的安全性。
根据一些CMF用户的请求,在getToolByName修复中添加了try/except语句。这纠正了CMF网站中的日志消息,但没有安全影响。
当找到非工具时,将对象名称包含在getToolByName引发的异常中。这有助于调试,但没有安全影响。
允许Factory Tool的Faux Archetype Tool通过getToolByName返回。这修复了与某些自定义代码结合创建内容时的问题,但没有安全影响。
重新修复FTP补丁,允许发布FTP列表方法。这没有安全影响。
1.1 (2012-11-06)
修复crypto_oracle_protect补丁。修复了影响运行Plone 3.x且安装了hashlib Python包的用户的一个错误。
修复safe_html补丁。仅影响运行Plone 2.5.2的用户。
修复FTP补丁。修复了意外破坏Zope FTP功能的问题。影响所有版本。
1.0 (2012-11-06)
初始发布
下载文件
下载适合您平台的应用程序文件。如果您不确定选择哪个,请了解更多关于安装包的信息。
源代码分发
Products.PloneHotfix20121106-1.2.tar.gz 的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | dfe07ae64e140fa35a55f153872334d20e285fb4d3aa65551229d0dc9c8c5675 |
|
| MD5 | 8dcfdbd0388dcf0a1e87f67daa006185 |
|
| BLAKE2b-256 | abb9e7b3ca562c749164861ae7ca0bb55bfcf26ef03f0df29f33b91bc1148ff6 |