20171128
Descărcări posibile
PloneHotfix20171128-1.0.zip
MD5: 249ff23b28b677ff1e4a933b441e5919
SHA1: 06b521548429fd064194f32f86e2930dc2062136
For all platforms (6057 bytes)
Versiuni Plone afectate
| 5.1rc1 | 5.1b4 | 5.1b3 | 5.1b2 | 5.1a2 | 5.1a1 | 5.0.9 | 5.0.8 | 5.0.7 | 5.0.6 |
| 5.0.5 | 5.0.4 | 5.0.3 | 5.0.2 | 5.0.1 | 5.0 | 5.0rc3 | 5.0rc2 | 5.0rc1 | 4.3.15 |
| 4.3.14 | 4.3.12 | 4.3.11 | 4.3.10 | 4.3.9 | 4.3.8 | 4.3.7 | 4.3.6 | 4.3.5 | 4.3.4 |
| 4.3.3 | 4.3.2 | 4.3.1 | 4.3 | 4.2.7 | 4.2.6 | 4.2.5 | 4.2.4 | 4.2.3 | 4.2.2 |
| 4.2.1 | 4.2 | 4.1.6 | 4.1.5 | 4.1.4 | 4.1.3 | 4.1.2 | 4.1.1 | 4.1 | 4.0.10 |
| 4.0.9 | 4.0.8 | 4.0.7 | 4.0.5 | 4.0.4 | 4.0.3 | 4.0.2 | 4.0.1 | 4.0 | 3.3.6 |
| 3.3.5 | 3.3.4 | 3.3.3 | 3.3.2 | 3.3.1 | 3.3 | 2.5.5 |
Note de lansare
Numerele CVE nu au fost încă emise.
Versiuni afectate: Toate versiunile Plone susținute (4.3.15 și orice versiune anterioară 4.x, 5.0.9 și orice versiune anterioară 5.x). Versiunile anterioare ar putea fi afectate, dar nu au fost testate complet.
Versiuni neafectate: Nici una
Natura vulnerabilității:
Patch-ul va aborda mai multe probleme de securitate:
- O redirecționare deschisă și reflectarea atacului Cross Site Scripting (XSS) în formularul de conectare și, eventual, în alte locuri în care se fac redirecționări. Verificarea isURLInPortal care este făcută pentru a evita legătura cu un site extern ar putea fi înșelată în acceptarea legăturilor rău intenționate.
- O redirecționare deschisă la apelarea unui url specific.
- Cross Site Scripting folosind proprietatea home_page member.
- Accesarea conținutului privat prin intermediul str.format în șabloane și scripturi prin web. Vedeți acest post de blog de Armin Ronacher pentru ideea generală. Acest lucru îmbunătățește o remediere rapidă anterioară. Deoarece metoda de formatare a fost introdusă în Python 2.6, această parte a remedierii rapide este relevantă numai pentru Plone 4 și 5, nu pentru Plone 3.
Suport pentru versiunea: remedierea rapidă este susținută oficial de echipa de securitate Plone pe următoarele versiuni ale Plone, în conformitate cu politica de suport pentru versiunea Plone: 4.0.10, 4.1.6, 4.2.7, 4.3.15 și 5.0.9. Cu toate acestea, s-a făcut puțină testare și pe versiuni mai vechi ale lui Plone.
Remedierile incluse aici vor fi incluse în versiunile ulterioare ale Plone, deci Plone 4.3.16, 5.0.10 și urm[toarele] nu ar trebui să necesite această remediere rapidă.
Avertisment: Din punct de vedere tehnic, remedierea rapidă ar trebui să funcționeze cu Plone 3, deși partea str.format nu este necesară acolo. Dar devine din ce în ce mai greu de testat, deoarece versiunea Pythone 2.4 învechită și neacceptată este necesară. Din ce în ce mai multe componente necesare în timpul instalării Plone (buildout, setuptools) nu mai funcționează cu Python 2.4. Obținerea versiunilor compatibile instalate și difuzate este dificilă și poate fi imposibilă dacă nu sunteți expert. Dacă utilizați Plone 3 și Python 2.4, trebuie să faceți upgrade în curând. Plone 3 a fost deja trecut la versiunile nesusținute dar acum echipa de securitate Plone renunță cu adevărat.
Credit: Mulțumiri lui Zhouyuan Yang de la FortiGuard Labs din Fortinet, Jayson Grace de la Sandia National Laboratories și Michael Howitz de la Gocept pentru raportarea problemelor, alături de unul găsit chiar de echipa Plone Security. Mulțumiri lui Michael Howitz pentru că a oferit soluția pentru problema pe care a găsit-o. Restul problemelor au fost rezolvate de echipa de securitate Plone.
Instrucțiuni de instalare
Procedura de instalare a remedierii rapide 20171128 diferă ușor în funcție de versiunea Plone sau Zope pe care o folosiți și dacă ați instalat Plone sau Zope folosind buildout.
Faceți copie de rezervă
Este prudent să faceți o copie a tuturor datelor și fișierelor de instalare înainte de a instala orice completare Plone, inclusiv această remediere rapidă. Dacă aveți deja o rutină de creare de copii de rezervă Plone solidă, puteți sări peste acest pas și să continuați.
Dacă nu aveți deja o copie de siguranță a site-ului dumneavoastră Plone, cel mai simplu mod de a crea copii de rezervă pentru instanța dumneavoastră Plone este să copiați pur și simplu întregul dosar de instanță Zope sau folderul buildout într-o locație sigură.
Procedura de instalare recomandată
Dacă nu sunteți experimentat cu Plone, cel mai simplu mod de a instala Hotfix 20171128 pe Plone 4.0 - Plone 5.x este după cum urmează:
1) Descărcați arhiva de remediere rapidă utilizând linkul de mai sus. Dacă aveți un instrument MD5 disponibil (Linux sau Mac), utilizați-l pentru a verifica dacă semnătura se potrivește.
2) Plasați fișierul zip descărcat în directorul "products" din instanța dumneavoastră Zope. La instalările pre-construite, acesta vor fi "Products".
3) Dezarhivați fișierul zip.
Pe Linux sau Mac, comanda este:
$ unzip PloneHotfix20171128-1.0.zip
Pe Windows, utilizați produsul dumneavoastră de arhivare preferat. (7Zip este o alegere bună).
4) Reporniți instanța Zope în modul prim plan pentru a vă asigura că este instalată remedierea rapidă.
Pe Mac sau Linux, comanda este de obicei:
$ bin/instance fg
Pe Windows, comanda este de obicei:
> bin\instance.exe fg
Zope va începe în prim-plan și ar trebui să vedeți mesajul "INFO PloneHotfix20171128 Hotfix installed." în timpul pornirii.
5) Opriți instanța primară a Zope apăsând CTRL-C
6) Reporniți instanța Zope.
Pe Mac sau Linux, comanda este de obicei:
$ bin/instance start
Pe Windows, comanda este de obicei:
> bin\instance.exe start
Dacă utilizați clienți ZEO, schimbați instance în client1, client2, etc., în comenzile de mai sus.
Instalarea cu Buildout
Dacă sunteți un administrator Plone cu experiență și utilizați o instalare Plone bazată pe buildout, puteți alege să instalați Hotfix 20171128 cu buildout. Cu toate acestea, dacă alegeți să faceți acest lucru, trebuie să fiți sigur că nu veți înlocui accidental componentele Plone cu versiuni mai noi. Acest lucru este foarte probabil dacă încercați să utilizați buildout cu versiuni mai vechi ale Plone.
Dacă nu sunteți sigur ce faceți, vă rugăm să utilizați instrucțiunile de instalare recomandate de mai sus.
Cu excepția cazului în care aveți un buildout foarte recent, este posibil să primiți această eroare atunci când executați buildout, cauzată de o modificare a paginii pypi.python.org care oferă numai https:
Error: Couldn't find a distribution for 'Products.PloneHotfix20171128==1.0'.
Cea mai probabilă cauză este că buildout-ul încearcă să descarce remedierea rapidă prin http. Ar trebui să utilizați indexul https PyPI. În secțiunea buildout a buildout-ului dumneavoastră, asigurați-vă că utilizați indexul corect:
[buildout] index = https://pypi.python.org/simple/
Versiunile foarte noi ale instrumentelor de configurare (setuptools) pot încerca să instaleze roțile (wheels) ca ouă (eggs), în special versiunea 2.8 și cele mai noi. O combinație de instrumente de configurare (setuptools) 33.1.1 și zc.buildout 2.9.5 funcționează corect.
1) Găsiți fișierul buildout.cfg, situat în mod obișnuit în subdirectorul "zinstance" din directorul de instalare Plone. (Dacă utilizați clienți ZEO, subdirectorul poate fi numit "zeoserver").
2) Deschideți fișierul buildout.cfg în editorul de text.
3) Derulați în jos până la secțiunea "ouă" (eggs) a buildout-ului și adăugați Products.PloneHotfix20171128, de exemplu:
[buildout]
...
eggs =
Products.PloneHotfix20171128
[versions]
Products.PloneHotfix20171128 = 1.0
4) porniți din nou buildout-ul
Pe Mac sau Linux, comanda este:
$ ./bin/buildout -Nv
Pe Windows, comanda este:
> bin\buildout.exe -Nv
5) Reporniți instanța Zope.
Pe Mac sau Linux, comanda este:
$ ./bin/instance start
Pe Windows, comanda este:
> bin\instance.exe start
Alternativ, în Windows, este posibil să reporniți serviciul Zope prin intermediul panoului de control Windows Services.
Dacă utilizați clienți ZEO, schimbați instance în client1, client2, etc., în comenzile de mai sus.
Confirmarea instalării
La pornire, remedierea rapidă va înregistra un număr de mesaje în jurnalul de evenimente Zope. Puteți folosi aceasta pentru a confirma că patch-ul a fost instalat cu succes. Ele arata astfel:
2017-11-28 18:54:42 INFO Products.PloneHotfix20171128 Applied in_portal patch 2017-11-28 18:54:42 INFO Products.PloneHotfix20171128 Applied redirect patch 2017-11-28 18:54:42 INFO Products.PloneHotfix20171128 Applied user_home_page patch 2017-11-28 18:54:42 INFO Products.PloneHotfix20171128 Applied strformat patch 2017-11-28 18:54:42 INFO Products.PloneHotfix20171128 Hotfix installed