Link-uri utile
Plone.org
Știri oficiale din Comunitate și de la Fundația Plone, cele mai importante evenimente, produse adiționale, documentație și desigur software-ul Plone.
Plone Network
Furnizori Plone, studii de caz, site-uri Plone organizate după companie, sector și zonă geografică.
Plone mailing lists
Listele de email publice plone.org
comunity.plone.org
Plone community
Plone 4 - demo portal
Permite experimentarea cu Plone 4 din perspectiva mai multor tipuri de utilizatori.
Plone 5 - demo portal
Permite experimentarea cu Plone 5 din perspectiva mai multor tipuri de utilizatori.
PloneGov.org
Inițiativă ce unește organizațiile publice care folosesc Plone.
PloneGov.ro
Inițiativă ce unește organizațiile publice din România care folosesc Plone.

Corecții de securitate minore Plone

Echipa de securitate Plone a lansat versiuni noi ale mai multor pachete. Aceste versiuni noi remediază mai multe probleme legate de securitate, nici una nefiind suficient de semnificativă pentru a justifica o remediere rapidă completă de securitate.
Corecții de securitate minore Plone

Problemele și actualizările versiunii sunt detaliate mai jos. Puteți utiliza noile versiuni în instalarea dumneavoastră Plone prin adăugarea de numere de "fixare" la versiunea dumneavoastră.

Noile versiuni includ lansările Pillow (furnizate de echipa de securitate Pillow) și PloneFormGen (furnizate de întreținătorii PloneFormGen).

Plone

  • Toate remedierile menționate mai jos în celelalte pachete sunt incluse în noile versiuni Plone. Deci, dacă vă puteți actualiza site-ul în mod normal la una dintre aceste versiuni, este cel mai bine. Aplicați procedurile normale pe care le utilizați pentru actualizarea site-ului dumnveavoastră. Aceasta ar trebui să includă testarea actualizării pe o copie a site-ului dumnevoastră.
  • Excepție: Products.PloneFormgen este un add-on care nu este inclus în versiunile principale ale Plone. Trebuie să actualizați acest lucru în mod explicit.
  • Plone 4.2 sau o versiune anterioară: nu este disponibilă nicio listă de versiuni noi.
  • Plone 4.3: extindeți http://dist.plone.org/release/4.3.10/versions.cfg sau utilizați programul de instalare.
  • Plone 5.0: extindeți http://dist.plone.org/release/5.0.5/versions.cfg sau utilizați programul de instalare.

plone.app.discussion

  • Natura vulnerabilității: atac de tip Cross Site Scripting (XSS) asupra paginii de moderare a comentariilor.
  • Afectează: acest lucru vă afectează numai dacă ați activat comentariile și ați activat moderarea comentariilor și utilizați text în clar sau text inteligent ca format de comentarii. Singurul loc în care sunteți vulnerabil este pe pagina de moderare a comentariilor. Deci, vizitatorii obișnuiți ai site-ului dumneavoastră nu au de ce să se teamă. Dacă ați activat comentariile anonime, acest atac este deschis pentru oricine, ceea ce face ca acesta să fie cel mai grav.
  • Soluție: Treceți la MarkDown sau html ca format de comentariu. Deoarece comentariile existente pot fi totuși afectate: utilizați opțiunile de moderare din pagina în care apare comentariul. Sau utilizați pagina de moderare cu javascript dezactivat.
  • Plone 4.0 sau mai vechi: nu este afectat, deoarece plone.app.discussion nu este inclus în nucleu.
  • Plone 4.1, 4.2: utilizați plone.app.discussion 2.1.2
  • Plone 4.3: utilizați plone.app.discussion 2.2.18
  • Plone 5.0: utilizați plone.app.discussion 2.4.16

Products.CMFPlone (1)

  • Natura vulnerabilității: expunerea proprietăților site-ului la utilizatorii anonimi. Ne referim la proprietățile din fila Proprietăți în Interfața de Management Zope sau din instrumentul portal_properties.
  • Afectează: acest lucru afectează pe toată lumea. În standardul Plone nu se poate vedea nimic foarte interesant. Dar dacă aveți un add-on sau propriul cod care stochează o cheie secretă aici, utilizatorii anonimi pot vedea acest lucru.
  • Soluție: nu utilizați proprietățile pentru a stoca informații care trebuie să rămână secrete. Registrul de configurare este un loc mult mai bun pentru acest lucru.
  • Plone 4.2 sau mai vechi: nu se eliberează nicio remediere.
  • Plone 4.3 sau mai vechi: utilizați Products.CMFPlone 4.3.10
  • Plone 5.0: utilizați Products.CMFPlone 5.0.5

Products.CMFPlone (2)

  • Natura vulnerabilității: atac de tip Cross Site Scripting (XSS) în orice câmp care utilizează modelul select2. În mod implicit, acestea sunt câmpurile contribuitorilor, creatorilor și etichetelor.
  • Afectează: acest lucru vă afectează dacă utilizatorii de neîncredere sau compromiși pot crea sau edita conținut. Sunteți vulnerabili doar când editați conținut.
  • Soluție: utilizați paginile de editare cu javascript oprit (ceea ce, desigur, nu este frumos).
  • Plone 4.3 sau mai vechi: nu este afectat
  • Plone 5.0: utilizați Products.CMFPlone 5.0.5

mockup

  • Aceasta este aceeași vulnerabilitate ca și în Products.CMFPlone (2). Pachetul mockup este utilizat numai când compilați resurse javascript în noul panou de control al registrelor de resurse.
  • Plone 4.3 sau mai vechi: nu este afectat
  • Plone 5.0: utilizați mockup 2.1.5

plone.app.event

  • Natura vulnerabilității: atac de tip Cross Site Scripting (XSS) în campul de localizare al Evenimentelor.
  • Afectează: acest lucru vă afectează dacă utilizatorii de neeîncredere sau compromiși pot crea sau edita evenimente.
  • Notă: acestea sunt evenimentele de dexteritate. Plone 4 nu se livrează cu acest lucru, dar este posibil să-l fi adăugat dumneavoastră.
  • Plone 4.2 sau mai vechi: plone.app.event nu este utilizat în mod implicit. Dacă îl folosiți, probabil știți ce faceți.
  • Plone 4.3: folosiți plone.app.event 1.1.6 (dacă site-ul dumnveavoastră. utilizează acest pachet). Notă: dacă ați avut cod personalizat pentru a suprascrie metoda de ajutor `get_location` pentru a returna html, acest lucru nu mai funcționează. Pentru textul în clar funcționează bine, dar metoda `get_location` a dispărut în versiunea 2.0, pentru simplitate. În schimb, aveți posibilitatea să înlocuiți șabloanele necesare în add-ons.
  • Plone 5.0: utilizați plone.app.event 2.0.10

plone.app.contenttypes

  • Natura vulnerabilității: atac de tip Cross Site Scripting (XSS) în câmpul de legendă al comportamentului leadimage.
  • Afectează: acest lucru vă afectează dacă utilizatori de neîncredere sau compromiși pot crea sau edita conținut. În mod implicit, numai articolele de știri utilizează comportamentul leadimage, dar este posibil ca acest comportament să fi fost activat și pentru alte tipuri.
  • Notă: acesta este un pachet cu tipuri de conținut de dexteritate. Plone 4 nu se livrează cu acest lucru, dar este posibil să-l fi adăugat dumneavoastră.. Arhetipurile de Știri nu sunt afectate.
  • Notă: există și pachetul colectiv.contentleadimage, care face un lucru similar pentru conținutul de arhetipuri, dar acest lucru nu este afectat.
  • Plone 4.2 sau mai vechi: plone.app.contenttypes nu este utilizat în mod implicit. Dacă îl folosiți, probabil știți ce faceți.
  • Plone 4.3: folosiți plone.app.contenttypes 1.1.1. Rețineți că numai articolele de știri sunt afectate, deoarece legenda leadimage nu este afișată în comportament.
  • Plone 5.0: folosiți plone.app.contenttypes 1.2.15

Products.PloneFormGen

  • Natura vulnerabilității: câmpul "ajutor" al câmpurilor de formate nu a fost scos din HTML, permițându-l să fie folosit pentru un atac XSS.
  • Afectează: acest lucru vă afectează numai dacă permiteți utilizatorilor de neîncredere sau compromiși să creeze formulare.
  • Pentru mai multe informații, vedeți https://github.com/smcmahon/Products.PloneFormGen/blob/master/CHANGES.txt
  • Pe Plone 4.1 și versiuni ulterioare, actualizați la Products.PloneFormGen 1.7.19.
  • Pe Plone 5.0 și versiuni ulterioare, actualizați la Products.PloneFormGen 1.8.1.

Pillow

    • Natura vulnerabilității: Când un atacator încarcă o imagine special creată, site-ul Plone se poate prăbuși. Teoretic, el poate avea acces la alte părți ale memoriei mașinii tale, din cauza unui exces de tampon (buffer overflow).
    • Afectează: acest lucru vă afectează numai dacă permiteți utilizatorilor de neîncredere sau compromiși să încarce imagini.
    • Pentru mai multe informații, consultați http://pillow.readthedocs.io/en/3.2.x/releasenotes/index.html
    • S-ar putea să utilizați PIL sau PILwoTk în loc de Pillow, dar ele au în esență aceeași problemă.
    • Pe Plone 4.0 și versiuni ulterioare, actualizați la Pillow 3.1.2 sau 3.2.0.
    • Pe Plone 3 trebuie să utilizați Python 2.4, iar cea mai recentă versiune compatibilă Pillow este 1.7.0, care poate fi vulnerabilă. Nu există nici o soluție aici. Rețineți că atât Plone 3 cât și Python 2.4 nu mai primesc actualizări de securitate.

Versiuni

Acestea sunt versiunile pe care ar trebui să le actualizați în secțiunea `[versiuni]` din fișierul de configurare buildout.cfg:

Plone 4.0:

Pillow = 3.2.0Products.PloneFormGen = 1.7.19

Plone 4.1 and 4.2:

Pillow = 3.2.0plone.app.discussion = 2.1.2Products.PloneFormGen = 1.7.19

Plone 4.3:

Pillow = 3.2.0plone.app.contenttypes = 1.1.1plone.app.discussion = 2.2.18plone.app.event = 1.1.6Products.CMFPlone = 4.3.10Products.PloneFormGen = 1.7.19

Plone 5.0:

mockup = 2.1.5Pillow = 3.2.0plone.app.contenttypes = 1.2.15plone.app.discussion = 2.4.16plone.app.event = 2.0.10Products.CMFPlone = 5.0.5Products.PloneFormGen = 1.8.1

Întrebări și sprijin

Pentru întrebări și ajutor cu aceste actualizări, consultați plone.org/support

Știri Plone.ro
Site-ul Conferinței Plone București 2015 a fost lansat!
Conferința Plone București 2015 România
2015-03-18
Plone 5 demo portal
Portal demo pentru Plone 5
2014-10-15
Cel mai interesant poster ;-)
Plone.ro pe harta Plone.
2014-07-22
EEA Annotator - Inline comments Plone Add-on versiunea 2.0
Pachetul Plone "EEA Annotator - Inline comments" versiunea 2.0 a fost publicat pe PyPi si Plone.org
2014-02-21
eea.daviz screencasts available
Your feedback is needed!
2014-02-03
Știri Plone.ro - More…
Știri Plone.org
Patch de securitate lansat 20171128
Remedierea rapidă pentru diverse vulnerabilități
2017-11-28
20171128
Mai multe remedieri pt XSS și redirecționări, precum și o remediere pentru o ieșire din mediul de testare (sandbox)
2017-11-18
Ofițerii Fundației Plone 2017-2018
Comitetul Fundației Plone este acum în noul termen 2017-2018
2017-11-16
Google Summer of Code 2017 încununat de succes
Mulțumiri celor cinci studenți GSoC, a mentorilor și a coordonatorului comunității noastre!
2017-11-16
Mulțumim, Barcelona!
Participanții din întreaga lume s-au adunat în campusul Universității de la Catalunya din cadrul Universității Politehnice din Catalunya pentru Conferința Plone 2017, 16-22 octombrie 2017
2017-11-15
Știri Plone.org - More…