Products.PloneHotfix20160419 1.0

Plone热修复，2016-04-19

此热修复修复了几个安全问题

• 在Plone中未授权修改dexterity内容。Archetypes内容不受影响。

• 攻击者可能获取您网站上私有内容的ID信息。这适用于所有内容。

• 可以创建或编辑模板的用户可以通过Chameleon（通过five.pt包）绕过受限制的Python。这仅在Chameleon被使用时发生。

此热修复应应用于以下版本的Plone

• Plone 5.0.4及其之前的所有版本

• Plone 4.3.9及其之前的所有版本

• Plone的任何旧版本

根据Plone的版本支持策略，Plone安全团队官方支持以下版本的Plone：4.0.10、4.1.6、4.2.7、4.3.9和5.0.4。然而，它也在Plone的旧版本上进行了某些测试。这里包含的修复将被纳入Plone的后续版本中，因此Plone 4.3.10、5.0.5及其以上版本不应需要此热修复。

安装

安装说明可在https://plone.org/security/20160419找到

Q&A

问：我如何确认热修复已正确安装并且我的网站受到保护？

A: 启动时，热补丁将向Zope事件日志记录一些类似于以下的消息

2016-04-19 17:31:58 INFO Products.PloneHotfix20160419 Applied publishing patch
2016-04-19 17:31:58 INFO Products.PloneHotfix20160419 Applied dexterity patch
2016-04-19 17:31:58 INFO Products.PloneHotfix20160419 Applied five_pt patch
2016-04-19 17:31:58 INFO Products.PloneHotfix20160419 Hotfix installed

应用补丁的确切数量将取决于您使用的软件包。如果尝试应用补丁但失败，它将记录为警告，显示“无法应用”。这可能表明您的Plone安装非标准。

Q: 我如何报告安装补丁的问题？

A: 请联系Plone安全团队 security@plone.org，或访问freenode IRC上的#plone频道。

Q: 我如何报告其他潜在的安全漏洞？

A: 请通过电子邮件将安全团队 security@plone.org 通知，而不是公开讨论潜在的安全问题。

变更日志

1.0 (2016-04-19)

• 初始发布