各种Plone热修复,2017-01-17
项目描述
Plone热修复,2017-01-17
此热修复修复了几个安全问题
在ZMI(manage_findResult)中的反射跨站脚本攻击(XSS)。您可能已经在类似nginx或Apache的Web服务器中阻止了对manage页面的访问。在这种情况下,热修复的这一部分是好的,但并不相关。
通过通过网络的模板和脚本中的str.format访问私有内容。请参阅Armin Ronacher的这篇博客文章了解一般思路。由于format方法是在Python 2.6中引入的,因此热修复的这一部分仅适用于Plone 4和5,不适用于Plone 3。
兼容性
此热修复应应用于以下版本的Plone
Plone 5.0.6及任何早于5.x的版本
Plone 4.3.11及任何早于4.x的版本
任何旧版本的Plone
根据Plone的版本支持策略,Plone安全团队正式支持以下版本的Plone:4.0.10、4.1.6、4.2.7、4.3.11和5.0.6。然而,它也已在较旧的Plone版本上进行了一些测试。这里包含的修复将被纳入Plone的后续版本,因此Plone 4.3.12、5.0.7及更高版本不应需要此热修复。
安装
安装说明可在此处找到:https://plone.org/security/hotfix/20170117
自动化测试
如果您为您的代码编写了自动化测试,并且希望与这个热修复一起运行它们,以查看是否存在回归,请确保热修复包含在您的测试设置中。使用plone.app.testing,在您的测试层配置文件中应该看起来像这样
def setUpZope(self, app, configurationContext):
from plone.testing import z2
z2.installProduct(app, 'Products.PloneHotfix20170117')
使用旧式的Products.PloneTestCase,应该是这样的
from Testing import ZopeTestCase
ZopeTestCase.installProduct('PloneHotfix20170117', quiet=1)
常见问题解答
- 问题:我如何确认热修复已正确安装并且我的站点受到保护?
答案:启动时,热修复将在Zope事件日志中记录多个类似的消息
2017-01-17 08:42:11 INFO Products.PloneHotfix20170117 Applied zmi patch 2017-01-17 08:42:11 INFO Products.PloneHotfix20170117 Hotfix installed
应用补丁的确切数量将根据您使用的包而有所不同。如果尝试应用补丁但失败,则将记录为警告,表示“无法应用”。这可能表明您有一个非标准的Plone安装。
- 问题:我如何报告安装补丁的问题?
答案:请联系Plone安全团队 security@plone.org,或访问freenode IRC上的#plone频道。
- 问题:我如何报告其他潜在的安全漏洞?
答案:请通过电子邮件将安全团队 security@plone.org 发送,而不是公开讨论潜在的安全问题。
变更日志
1.0 (2017-01-17)
首次发布
下载文件
下载适用于您的平台文件。如果您不确定选择哪个,请了解更多关于 安装包 的信息。
源代码分发
Products.PloneHotfix20170117-1.0.zip 的哈希
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 9c4164c142ae185a01bb79634bdaacd08bd9e1f31036aeba4ea5c714ff0ced36 |
|
| MD5 | ca679ed2291d42254e996cb40f3cce62 |
|
| BLAKE2b-256 | 96dd343f5c3bbf9d58ac7ee8ee3a3efc264e439fca924655f603ccf3713da345 |