各种Plone热补丁,2013-06-18
项目描述
Plone热补丁,2013-06-18
此热补丁修复了Plone中的多个漏洞,包括任意代码执行和权限提升。
此补丁程序应应用于以下版本的Plone
Plone <= 4.3.1
Plone <= 4.2.5
包括2.1、2.5、3.0、3.1、3.2、3.3、4.0和4.1在内的任何较旧版本的Plone
根据Plone 版本支持策略,此补丁程序由Plone安全团队在以下版本的Plone上官方支持:3.3.6、4.1.6、4.2.6、4.3和4.3.1。然而,它也已在Plone的较旧版本上进行了某些测试。此处包含的修复程序将纳入Plone的后续版本,因此Plone 4.2.6、4.3.1及更高版本不应需要此补丁程序。
补丁程序版本
请注意,存在补丁程序的1.3版本。发现版本1.0会在Plone 2.1系统以及Plone其他版本中的某些附加组件上引起问题。版本1.1也包含一些小问题。如果您现在才开始安装补丁程序或如果您正在遇到补丁程序版本1.0或1.1的问题,请安装版本1.3。
安装
安装说明可在http://plone.org/products/plone-hotfix/releases/20130618找到
问答
- 问:我如何确认补丁程序已正确安装并且我的站点受到保护?
答:启动时,补丁程序将在Zope事件日志中记录多条消息,如下所示
2013-06-18 21:15:26 INFO Products.PloneHotfix20130618 Applied typeswidget patch
尝试修补的程序的具体列表取决于Plone的版本。如果尝试修补但失败,它将记录为一条警告消息,内容为“无法应用”。这可能表明您有一个非标准化的Plone安装。
- 问:我如何报告安装补丁程序时遇到的问题?
答:请联系Plone安全团队,邮箱为security@plone.org,或访问freenode IRC上的#plone频道。
- 问:我如何报告其他潜在的安全漏洞?
答:请通过电子邮件向安全团队发送消息至security@plone.org,而不是公开讨论潜在的安全问题。
变更日志
1.3.1 (2013-09-07)
修复与较旧版本的Plone相关的可能的迭代问题
1.3 (2013-06-27
修复cb_decode修补程序
1.2 (2013-06-27)
增加允许的链接完整性请求数据的最大大小。
修复发布修补程序以使用正确的get_module_info全局变量。这避免了在使用链接完整性检查时遇到的异常。
修复mail_password修补程序以避免在用户输入错误用户名时崩溃。同时,将关键字参数传递给原始函数。
1.1 (2013-06-13)
修复spamProtect以仅在字符串时剥离文本
修复getObject问题
不要修补__bobo_traverse__,因为它是不必要的
1.0 (2013-06-18)
初始发布
下载文件
下载适合您平台的文件。如果您不确定选择哪个,请了解更多关于安装包的信息。
源代码分发
Products.PloneHotfix20130618-1.3.1.zip的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 3b80925c086fece95991fa385555f3672bf61484e5d83ff8ccc192836b668ddd |
|
| MD5 | 235db3e1d951499a14544d376981be4d |
|
| BLAKE2b-256 | 6ceab204e145faf5811e01e2e2cab530f41ae278a671e70e97b634e52f6f21cf |