Zope(Plone)のセキュリティバグフィックス(2011年10月)

今回(Plone Hotfix 20110928)

まずは、今回のセキュリティバグですが、Zope2.12/2.13に関わる物で、Plone4.0/4.1が対象です。
匿名ユーザが任意のコードを実行できる可能性があるようです。

対策プログラムが、下記の通り出ております。Plone4以降の方は早急に対処をしましょう。
http://plone.org/products/plone-hotfix/releases/20110928
導入方法は、まず、データをバックアップを取ってから、上記サイトからダウンロードしたプロダクトを、productsディレクトリに入れて、再起動(テスト的に fgで立ち上げ確認)すれば完了です。

buildout方式にも対応しています。その際には、buildoutコマンドに、"-Nv" を付けて実行して下さい。(-Nは、バージョンチェックを行わない(最新版を入手しない)という物です。【重要】)

最近のPloneのバグフィックス

改めてまとめます。

Plone Hotfix 20110928 (Oct 04, 2011)

バージョン : Plone 4.0.x series <= 4.0.9, 4.1 <= 4.1, 4.2 <= 4.2a2.
影響 : 大
概要 : 匿名ユーザが任意のコードを実行できる。Zopeに依存する問題。

Plone Hotfix 20110622 (Jun 28, 2011)

バージョン : Plone 4.0.x series <= 4.0.7, 4.1 <= RC1, 3.x series <= 3.3.5.
影響 : 大
概要 :
zope.interface の InterfaceClass クラスを経由して、獲得(acquisition)されるオブジェクトが、セキュリティ監査されていない場合がある。
zope.traversing の namespaceパッケージにあるクラスを一部不正使用される可能性がある。

Plone Hotfix 20110531 (Jun 01, 2011)

バージョン : Plone series 4.x <= 4.0.5, 3.x <= 3.3.5, 2.5.x.
影響 : 大
概要 :
XSS関連(2件)
ユーザデータの書換権限(Plone4以降)
他ユーザに認証させなく出来る(Plone2.5-Plone4)

Plone Hotfix CVE-2011-0720 (Feb 08, 2011)

バージョン : Plone 4.x series <= 4.0.3, 3.x series <= 3.3.5, 2.5.x series, 2.1, 2.0.
影響 : 大
概要 :
Zope Publisherが持つバグ(Plone3.0以降(Zope2.10以降)のみ)
Ploneコード内のセキュリティ宣言の甘さの修正
日本語情報(http://plone.jp/news/plone-security-2011-0720)

Plone Hotfix 20100612 (Jun 19, 2010)

バージョン : Plone 3.x series <= 3.3.5, 2.5.x, 2.1.
影響 : 中
概要 : HTMLフィルタリングの不具合。safe_html 関係のバグ。

下記サイト(英語)に情報及び対策プロダクトがまとめっています。
http://plone.org/products/plone-hotfix/releases