Ploneセキュリティバグに関して
久しぶりのBlog投稿になりますが、バグフィックスの情報になります。
Ploneのバグフィックスの詳細は、本家Plone.orgのニュースとして投稿されています。
http://plone.org/products/plone/security/advisories/CVE-2011-1948
http://plone.org/products/plone/security/advisories/CVE-2011-1949
http://plone.org/products/plone/security/advisories/CVE-2011-1950
これらのバグフィックスは、下記からダウンロード出来ます。
http://plone.org/products/plone-hotfix/releases/20110531
(6月3日にVer.2が出ています)
バグの内容は、下記の4項目とのことです。
- XSS関連: http://plone.org/products/plone/security/advisories/CVE-2011-1948
- XSS関連: http://plone.org/products/plone/security/advisories/CVE-2011-1949
- ユーザデータの書換権限(Plone4以降): http://plone.org/products/plone/security/advisories/CVE-2011-1950
- 他ユーザに認証させなく出来る(Plone2.5-Plone4): https://bugs.launchpad.net/zope-pas/+bug/789858
これらのバグは、Plone4.0.7及びPlone4.1rc3以降で解消される予定です。
インストール方法は、対策プロダクトをダウンロードし、Productsフォルダ(最近のPloneをUnifideInstallerでインストールしている場合は、小文字のproductsフォルダ)に置き、再起動を行うと完了します。またはbuildoutでのインストールも可能になっています。(buildoutの場合、最新版にしないオプションである -N を必ず付けて実行)
http://plone.org/products/plone-hotfix/releases/20110531
これらは、Plone2.5以降のバージョンでテストをされていますが、XSSに関してはPlone2.1にも影響が出ていることもあります。