Products.PloneHotfix20200121 1.1

Plone修复程序，2020-01-21

此修复程序修复了几个安全问题

• 当安装plone.restapi时，存在权限提升问题。由Lukas Graf和Niklaus Johner报告并修复。

• 登录表单和其他可能进行重定向的地方存在开放重定向问题。为了避免链接到外部站点而进行的isURLInPortal检查可能会被欺骗接受恶意链接。由Damiano Esposito报告。

• 密码强度检查并不总是进行检查。由Ben Kummer报告。

• 您可能能够在不需要写权限的情况下PUT（覆盖）某些内容。这在实践中似乎很难做到。此修复程序仅在您使用plone.app.contenttypes时才需要。由Alessandro Pisa报告并修复。

• 在DTML或连接对象中的SQL引号不足，可能导致SQL注入。这是Zope的问题。如果您在没有Plone的情况下使用Zope，此热补丁也应适用于您。由Michael Brunnbauer和Michael Howitz报告并修复。

• 在Plone 5.0及更高版本中标题字段存在跨站脚本（XSS）问题。由Marcos Valle报告。

兼容性

此热补丁应应用于以下版本的Plone

• Plone 5.2.1及所有早于5.2.x的版本

• Plone 5.1.6及所有早于5.x的版本

• Plone 4.3.19及所有早于4.x的版本

根据Plone的版本支持策略，Plone安全团队官方支持以下版本的Plone：4.3.19、5.0.10、5.1.6和5.2.1。

在Plone 4.3、5.0和5.1上，热补丁仅支持Python 2.7。在Plone 5.2.X上，它支持Python 2.7和Python 3.6/3.7。

Python 2.6应该可以工作，并且早于Plone 4的版本也应该可以工作，但尚未完全测试。

此处包含的修复将包含到Plone的后续版本中，因此Plone 4.3.20、5.1.7、5.2.2和更高版本不应需要此热补丁。

安装

安装说明可在https://plone.org/security/hotfix/20200121找到

Q&A

问：如何确认热补丁已正确安装并且我的网站受到保护？

答：启动时，热补丁将向Zope事件日志记录多条消息，如下所示

2020-01-21 13:10:26 INFO Products.PloneHotfix20200121 Applied sql_quote patch
2020-01-21 13:10:26 INFO Products.PloneHotfix20200121 Applied in_portal patch
2020-01-21 13:10:26 INFO Products.PloneHotfix20200121 Applied password_validation patch
2020-01-21 13:10:26 INFO Products.PloneHotfix20200121 Applied pac patch
2020-01-21 13:10:26 INFO Products.PloneHotfix20200121 Applied content patch
2020-01-21 13:10:26 INFO Products.PloneHotfix20200121 Applied layout patch
2020-01-21 13:10:26 INFO Products.PloneHotfix20200121 Applied restapi_local_roles patch
2020-01-21 13:10:26 INFO Products.PloneHotfix20200121 Hotfix installed

应用补丁的确切数量将根据您使用的软件包而有所不同。如果尝试应用补丁但失败，则将其记录为错误，并显示“无法应用”。这可能表明您有一个非标准的Plone安装。请调查，如果您认为这是热补丁中的问题，请向我们发送附带的事件回溯。

问：如何报告安装补丁时的问题？

答：请联系Plone安全团队security@plone.org，或访问Gitter频道https://gitter.im/plone/public和论坛https://community.plone.org。

问：如何报告其他潜在的安全漏洞？

答：请通过security@plone.org电子邮件安全团队，而不是公开讨论潜在的安全问题。

变更日志