各种Plone热修复,2017-11-28
项目描述
Plone热修复,2017-11-28
此热修复修复了几个安全问题
登录表单上存在开放重定向和反射跨站脚本攻击(XSS),可能还有其他执行重定向的地方。为了避免链接到外部网站而进行的 isURLInPortal 检查可能会被欺骗,接受恶意链接。
调用特定URL时的开放重定向。
使用 home_page 成员属性执行跨站脚本。
通过通过网页模板和脚本中的 str.format 访问私有内容。请参阅Armin Ronacher的这篇 博客文章 了解一般思路。这改进了一个早期的热修复。由于 format 方法是在Python 2.6中引入的,因此此热修复的部分仅适用于Plone 4和5,不适用于Plone 3。
兼容性
应将此热修复应用于以下版本的Plone
Plone 5.0.9及任何早期5.x版本
Plone 4.3.15及任何早期4.x版本
该热补丁由Plone安全团队正式支持,适用于以下Plone版本的Plone,遵循Plone的版本支持策略:4.0.10,4.1.6,4.2.7,4.3.15和5.0.9。然而,它也在Plone的较旧版本上进行了某些测试,例如早期4.3版本。此处包含的修复程序将纳入Plone的后续版本,因此Plone 4.3.16,5.0.10和更高版本不应需要此热补丁。
安装
Q&A
- Q:我如何确认热补丁已正确安装并且我的站点已受保护?
A:在启动时,热补丁将在Zope事件日志中记录一些消息,如下所示
2017-11-28 08:42:11 INFO Products.PloneHotfix20171128 Applied in_portal patch 2017-11-28 08:42:11 INFO Products.PloneHotfix20171128 Hotfix installed
应用修补程序的确切数量将根据您使用的包而有所不同。如果尝试应用修补程序但失败,它将记录为一条警告消息,说明“无法应用”。这可能表明您有一个非标准的Plone安装。
- Q:我如何报告安装修补程序的问题?
A:请联系Plone安全团队security@plone.org,或访问freenode IRC上的#plone频道。
- Q:我如何报告其他潜在的安全漏洞?
A:请通过security@plone.org发送电子邮件,而不是公开讨论潜在的安全问题。
变更日志
1.0 (2017-11-28)
初始发布
下载文件
下载适用于您平台文件的文件。如果您不确定选择哪个,请了解有关安装包的更多信息。
源分布
Products.PloneHotfix20171128-1.0.tar.gz的哈希
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | b4f310edfd2da1d99c9e26c80b5913604ea860f00f53aca4f93799d3d7ee3280 |
|
| MD5 | baa3cc95cd297f9aeda387d0c8553292 |
|
| BLAKE2b-256 | fdea9e0248bbd9fb10fc9e671c90eb6b190c00fa0f9208858ee61d3019fc322a |
