Главная Компания Новости Опубликован хот-фикс CMS Plone: HTML-инъекция в safe_html

Опубликован хот-фикс CMS Plone: HTML-инъекция в safe_html

Вышел хот-фикс CMS Plone CVE-2010-2422: HTML инъекция в safe_html. Апдейт исправляет работу в HTML-фильтрации Plone, разрешающую размещение произвольного кода в страницы.

Данное исправление Plone включено в обновление PortalTransforms.

Данная уязвимость обнаружена в html-фильтрации во всех версиях Plone. Авторизованные пользователи, имеющие права на создание контента могут воспользоваться этим изъяном безопасности и обойти фильтрацию HTML-кода при размещении контента. Можно отметить, что обнаружение уязвимостей - большая редкость для CMS Plone, одной из самых безопасных CMS.

Данной проблеме присвоен номер CVE-2010-2422.

Уязвимости подвержены все релизы Plone, начиная с 2.1.

Установка для Plone 2.1 - 3.1

Для установки хот-фикса скачайте и распакуйте дистрибутив и добавьте директорию PloneHotfix20100612 в каталог продуктов Вашей инстанции. Если хотфикс будет успешно применён, Вы увидите следующее сообщение при запуске инстанции:

2010-06-12 23:54:28 INFO PloneHotfix20100612 safe_html patched

Установка для Plone 3.2 и 3.3

Так как хот-фикс работает с любой версией Plone, пользователи Plone 3.2 - Plone 3.3.5 должны добавить следующее в конфигурационные файлы buildout и перезапустить buildout:

[versions]
Products.PortalTransforms = 1.6.11

При запуске не выводится подтверждающих сообщений, но убедиться в наличии исправления можно, проверив номер версии PortalTransforms в панели управления Zope.

Рекомендуется установить исправление на хостинг, особенно, если на Вашем Plone-сайте публикации осуществляют большое количество авторов.

Другие документы на эту тему

Plone

КОМТЕТ - специализируется на поддержке Plone хостинга. Для Plone-сайтов предназначена отдельная группа тарифов «Zope/Plone хостинг». В разделе «Plone» публикуются подробные описания релизов Plone, описания продуктов и шаблонов Plone, интересные статьи, советы и ответы на часто встречающиеся вопросы о CMS Plone, подготовленные сотрудниками хостинга.