Ploneセキュリティバグに関して

久しぶりのBlog投稿になりますが、バグフィックスの情報になります。

Ploneのバグフィックスの詳細は、本家Plone.orgのニュースとして投稿されています。
http://plone.org/products/plone/security/advisories/CVE-2011-1948
http://plone.org/products/plone/security/advisories/CVE-2011-1949
http://plone.org/products/plone/security/advisories/CVE-2011-1950

これらのバグフィックスは、下記からダウンロード出来ます。
http://plone.org/products/plone-hotfix/releases/20110531
(6月3日にVer.2が出ています)

バグの内容は、下記の4項目とのことです。

1. XSS関連: http://plone.org/products/plone/security/advisories/CVE-2011-1948
2. XSS関連: http://plone.org/products/plone/security/advisories/CVE-2011-1949
3. ユーザデータの書換権限(Plone4以降): http://plone.org/products/plone/security/advisories/CVE-2011-1950
4. 他ユーザに認証させなく出来る(Plone2.5-Plone4): https://bugs.launchpad.net/zope-pas/+bug/789858

これらのバグは、Plone4.0.7及びPlone4.1rc3以降で解消される予定です。

インストール方法は、対策プロダクトをダウンロードし、Productsフォルダ(最近のPloneをUnifideInstallerでインストールしている場合は、小文字のproductsフォルダ)に置き、再起動を行うと完了します。またはbuildoutでのインストールも可能になっています。(buildoutの場合、最新版にしないオプションである -N を必ず付けて実行)
http://plone.org/products/plone-hotfix/releases/20110531

これらは、Plone2.5以降のバージョンでテストをされていますが、XSSに関してはPlone2.1にも影響が出ていることもあります。