跳转到主要内容

各种Plone热补丁,2013-06-18

项目描述

Plone热补丁,2013-06-18

此热补丁修复了Plone中的多个漏洞,包括任意代码执行和权限提升。

此补丁程序应应用于以下版本的Plone

  • Plone <= 4.3.1

  • Plone <= 4.2.5

  • 包括2.1、2.5、3.0、3.1、3.2、3.3、4.0和4.1在内的任何较旧版本的Plone

根据Plone 版本支持策略,此补丁程序由Plone安全团队在以下版本的Plone上官方支持:3.3.6、4.1.6、4.2.6、4.3和4.3.1。然而,它也已在Plone的较旧版本上进行了某些测试。此处包含的修复程序将纳入Plone的后续版本,因此Plone 4.2.6、4.3.1及更高版本不应需要此补丁程序。

补丁程序版本

请注意,存在补丁程序的1.3版本。发现版本1.0会在Plone 2.1系统以及Plone其他版本中的某些附加组件上引起问题。版本1.1也包含一些小问题。如果您现在才开始安装补丁程序或如果您正在遇到补丁程序版本1.0或1.1的问题,请安装版本1.3。

安装

安装说明可在http://plone.org/products/plone-hotfix/releases/20130618找到

问答

问:我如何确认补丁程序已正确安装并且我的站点受到保护?

答:启动时,补丁程序将在Zope事件日志中记录多条消息,如下所示

2013-06-18 21:15:26 INFO Products.PloneHotfix20130618 Applied typeswidget patch

尝试修补的程序的具体列表取决于Plone的版本。如果尝试修补但失败,它将记录为一条警告消息,内容为“无法应用”。这可能表明您有一个非标准化的Plone安装。

问:我如何报告安装补丁程序时遇到的问题?

答:请联系Plone安全团队,邮箱为security@plone.org,或访问freenode IRC上的#plone频道。

问:我如何报告其他潜在的安全漏洞?

答:请通过电子邮件向安全团队发送消息至security@plone.org,而不是公开讨论潜在的安全问题。

变更日志

1.3.1 (2013-09-07)

  • 修复与较旧版本的Plone相关的可能的迭代问题

1.3 (2013-06-27

  • 修复cb_decode修补程序

1.2 (2013-06-27)

  • 增加允许的链接完整性请求数据的最大大小。

  • 修复发布修补程序以使用正确的get_module_info全局变量。这避免了在使用链接完整性检查时遇到的异常。

  • 修复mail_password修补程序以避免在用户输入错误用户名时崩溃。同时,将关键字参数传递给原始函数。

1.1 (2013-06-13)

  • 修复spamProtect以仅在字符串时剥离文本

  • 修复getObject问题

  • 不要修补__bobo_traverse__,因为它是不必要的

1.0 (2013-06-18)

  • 初始发布

项目详情


下载文件

下载适合您平台的文件。如果您不确定选择哪个,请了解更多关于安装包的信息。

源代码分发

Products.PloneHotfix20130618-1.3.1.zip (52.2 kB 查看哈希值)

上传时间 源代码

由以下支持