各种Plone修复程序,2021-05-18
项目描述
Plone修复程序,2021-05-18
此修复程序修复了多个安全问题
通过别名在表达式中的遍历执行远程代码。由David Miller报告。
通过表达式(无别名)中的遍历执行远程代码。由Calum Hutton报告。
通过字符串格式化程序在表达式中的遍历执行远程代码。由David Miller报告。
通过docutils和Python脚本写入任意文件。由Calum Hutton报告。
从文件上传(svg、html)中存储XSS。由Emir Cüneyt Akkutlu和Tino Kautschke分别报告。
CMFDiffTool中的XSS漏洞。由Igor Margitich报告。
在各种位置上反射XSS。由Calum Hutton报告。
各种信息泄露:GS、QI、all_users。由Calum Hutton报告。
从用户全名中存储XSS。由Tino Kautschke报告。
通过feedparser访问内部URL的盲SSRF。由Subodh Kumar Shree报告。
通过事件ical URL的服务器端请求伪造。由MisakiKata和David Miller报告。
通过lxml解析器的服务器端请求伪造。由MisakiKata和David Miller报告。
在Plone 5.0及更高版本中文件夹内容上的XSS。由Matt Moreschi报告。仅从修复程序的1.5版本开始包含。
通过Python脚本远程代码执行。由Calum Hutton报告。仅Plone 5.2在Python 3上存在漏洞。自热补丁版本1.6起包含在内。
兼容性
此热补丁应应用于以下版本的Plone
Plone 5.2.4和任何更早的5.2.x版本
Plone 5.1.7和任何更早的5.1x版本
Plone 5.0.10和任何更早的5.0.x版本
Plone 4.3.20和任何更早的4.x版本
根据Plone 版本支持策略,Plone安全团队在以下版本的Plone上正式支持此热补丁:4.3.20,5.0.10,5.1.7和5.2.4。
在Plone 4.3,5.0和5.1上,热补丁仅在Python 2.7上得到官方支持。在Plone 5.2.X上,它支持Python 2.7和Python 3.6/3.7/3.8。
此处包含的修复将纳入Plone的后续版本,因此Plone 5.2.5及以上版本不需要此热补丁。
Zope
Zope也受到影响。有Zope和其他软件包的新版本可用。升级到这些版本是推荐的做法。
如果您还不能升级,可以尝试Plone热补丁。它仅在Zope上未经测试,但我们尽量不让Plone特定的代码妨碍,因此应该没有问题。
上述提到的漏洞与Zope相关
通过别名在表达式中的遍历远程代码执行。Zope 4.6和5.2中发布的修复。
通过表达式(无别名)中的遍历远程代码执行。Zope 4.6.1和5.2.1中发布的修复。
各种信息泄露。在Products.PluggableAuthService 2.6.0,Products.GenericSetup 2.1.1和Zope 4.5.5中发布的修复。
在各种位置反射XSS。在Products.CMFCore 2.5.1和Products.PluggableAuthService 2.6.2中发布的修复。
通过字符串格式化器在表达式中的遍历远程代码执行。Zope 4.6.2中发布的修复,它接管了来自Zope 5.2.1的更严格代码。
通过Python脚本远程代码执行。在Zope 4.6.3和5.3中发布的修复。
安装
问答
- 问:我如何确认热补丁已正确安装并且我的站点受到保护?
答:在启动时,热补丁将在Zope事件日志中记录许多消息,如下所示
2021-05-18 14:07:24,176 INFO [Products.PloneHotfix20210518:43][MainThread] Applied expressions patch 2021-05-18 14:07:24,179 INFO [Products.PloneHotfix20210518:43][MainThread] Applied genericsetup patch 2021-05-18 14:07:24,181 INFO [Products.PloneHotfix20210518:43][MainThread] Applied pas patch 2021-05-18 14:07:24,182 INFO [Products.PloneHotfix20210518:43][MainThread] Applied propertymanager patch 2021-05-18 14:07:24,183 INFO [Products.PloneHotfix20210518:43][MainThread] Applied skinnable patch 2021-05-18 14:07:24,187 INFO [Products.PloneHotfix20210518:43][MainThread] Applied xmlrpc_dump_instance patch 2021-05-18 14:07:24,188 INFO [Products.PloneHotfix20210518:43][MainThread] Applied difftool patch 2021-05-18 14:07:24,238 INFO [Products.PloneHotfix20210518:43][MainThread] Applied event patch 2021-05-18 14:07:24,244 INFO [Products.PloneHotfix20210518:43][MainThread] Applied modeleditor patch 2021-05-18 14:07:24,246 INFO [Products.PloneHotfix20210518:43][MainThread] Applied namedfile patch 2021-05-18 14:07:24,283 INFO [Products.PloneHotfix20210518:43][MainThread] Applied pa_users patch 2021-05-18 14:07:24,367 INFO [Products.PloneHotfix20210518:43][MainThread] Applied portlets patch 2021-05-18 14:07:24,369 INFO [Products.PloneHotfix20210518:43][MainThread] Applied publishing patch 2021-05-18 14:07:24,371 INFO [Products.PloneHotfix20210518:43][MainThread] Applied qi patch 2021-05-18 14:07:24,372 INFO [Products.PloneHotfix20210518:43][MainThread] Applied supermodel patch 2021-05-18 14:07:24,500 INFO [Products.PloneHotfix20210518:43][MainThread] Applied theming patch 2021-05-18 14:07:24,634 INFO [Products.PloneHotfix20210518:43][MainThread] Applied transforms patch 2021-05-18 14:07:24,634 INFO [Products.PloneHotfix20210518:51][MainThread] Hotfix installed
应用补丁的确切数量将因您使用的包而异。如果尝试应用补丁但失败,将记录为错误,显示“无法应用”。这表明您可能有一个非标准Plone安装。请进行调查,并在您认为热补丁中存在问题的情况下,将伴随的跟踪信息发给我们。
- 问:我如何报告安装补丁时的问题?
答:请联系Plone安全团队security@plone.org,或访问Gitter频道https://gitter.im/plone/public和论坛https://community.plone.org。
- 问:我如何报告其他潜在的安全漏洞?
答:请通过电子邮件向安全团队security@plone.org报告,而不是公开讨论潜在的安全问题。
变更日志
1.6 (2021-07-31)
通过Python脚本和字符串格式化器修复远程代码执行漏洞。这是此热补丁中较早漏洞的一种变体。只有Python 3上的Plone 5.2才存在漏洞。在Python 5.2上,您可以升级到AccessControl 4.3。在Plone和Python的早期版本中,不需要修复,但升级到这个新热补丁版本是可以的。
1.5 (2021-06-28)
修复了Plone 5.0及更高版本中文件夹内容的新XSS漏洞。
添加了对环境变量STRICT_TRAVERSE_CHECK的支持。
默认值是0,意味着与1.4版本中的代码一样严格。
值1非常严格,与Zope 5.2.1中引入的更严格的代码相同,现在也包含在Zope 4.6.2中。Plone中存在已知问题,例如在版本历史视图。
值2表示:尽量严格,但如果不成功,我们显示警告并返回找到的对象。这种想法是在开发或生产中使用一段时间,以查看哪些代码需要修复。
通过字符串格式化器在表达式通过遍历修复远程代码执行。这是此热补丁中两个较早漏洞的一种变体。
1.4 (2021-06-08)
使用安全的HTML转换而不是转义来处理富文本差异。否则,内联差异不再内联。
在操作系统环境中设置PLONEHOTFIX20210518_NAMEDFILE_USE_DENYLIST=1时,使用拒绝列表来确定哪些MIME类型可以内联显示。默认情况下,我们使用最常用的图像类型、纯文本和PDF的允许列表。拒绝列表包含svg、javascript和html,它们存在已知的跨站脚本漏洞。
根据普遍要求,允许内联显示PDF文件。注意:浏览器首选项在实际情况中起作用。
在带有模块的不受信任的路径表达式中,检查每个模块是否允许。在热补丁的第一个版本中,我们禁止了作为“私有”别名提供的模块,例如random._itertools。但如果random.itertools没有下划线是可用的,它仍然是允许的,尽管itertools没有被明确允许。(itertools可能允许,只是一个例子。)此版本是所有用户推荐的升级版本。
1.3 (2021-06-01)
将CHANGES.rst移动到主目录,并添加一个version.txt。这使得在从https://plone.org/security/hotfix/20210518下载zip文件时更容易检查您是否有正确的版本。此文件被缓存,因此您可能会得到早期版本。请检查sha1或md5校验和以确保。
定义一个包含允许名称的集合ALLOWED_UNDERSCORE_NAMES。这目前包含__name__、_和_authenticator。这使得项目在需要时更容易在补丁中添加名称。如果您覆盖此内容,请确保您知道自己在做什么。
允许访问单个下划线_。在热补丁合并后,Zope允许这样做以修复测试失败。在热补丁中也允许这样做似乎是明智的。
在更多情况下允许从plone.protect访问_authenticator。之前的版本为遍历类做了这件事,现在也为遍历函数做了。
1.2 (2021-05-19)
允许从plone.protect访问_authenticator。它修复了提交PloneFormGen表单时的NotFound错误,请参阅问题229。还应解决类似情况。
修复了表达式补丁。它无意中更改了TrustedBoboAwareZopeTraverse类的行为。最重要的是,它允许这个类使用restrictedTraverse,因此进行了不必要的安全检查:这个类用于文件系统上信任模板中的表达式。适用于所有Plone版本,除了4.3版本,因为该版本没有可选的five.pt包。一个测试方法是:以编辑员身份登录并访问页面上的@@historyview。如果您收到Unauthorized错误,您应该升级到新版本。如果您不确定:安装这个版本。
1.1 (2021-05-18)
允许在不受信任的表达式中使用__name__。之前的表达式补丁过于严格。如果您有使用__name__的模板,可能需要这个功能。这种情况并不常见,但一个例子是caching-controlpanel视图,使用之前的版本可能会出现404 NotFound错误。在某些Plone版本中浏览器视图受到影响(Plone 4.3与five.pt、5.0、5.1、5.2.0-5.2.2)。在所有Plone版本中,皮肤或通过网页的模板都会受到影响。当您发现比正常情况更多的NotFound错误时,您应该安装这个新版本。如果您不确定:安装这个版本。
1.0 (2021-05-18)
初始发布
下载文件
下载适合您平台文件的文件。如果您不确定选择哪一个,请了解更多关于安装包的信息。
源分发
构建分发
Products.PloneHotfix20210518-1.6.tar.gz的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 31669615484e6c82106c77bae093846a24844bc7920544fa8fabcef9a60527f1 |
|
| MD5 | d4474940842e9d50aa0d0b64263ba4f8 |
|
| BLAKE2b-256 | 84824cbd7bab685000b7a4df20745886f752cbece8bb2dcc5ceede9ba2a0ef62 |
Products.PloneHotfix20210518-1.6-py2.py3-none-any.whl的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | dd0ddb8854d7815beb4791bc353af72cbff611840138f77edf67c0d9464895b9 |
|
| MD5 | bec1b8d9978c8d42ab86c51230e5716f |
|
| BLAKE2b-256 | 55840c23dd867c9598acb4491b094174b442c2f69adb201c9fc275e1b18565b6 |
