Главная → Библиотека → CMS → Plone → CVE-2009-0662: Ошибка аутентификации при входе (Plone)

CVE-2009-0662: Ошибка аутентификации при входе (Plone)

Plone

Обновление устраняет ошибку аутентификации при входе, которая позволяла зарегистрированным пользователям входить под другими учётными данными. Автор Wichert Akkerman

Исправление включено в обновление PlonePAS (Pluggable Authentication System - подключаемая система аутентификации).

Список поврежденных версий Plone
Инструкции по инсталляции исправлений на Plone 3.0.x или Plone 3.1.x
Инструкции для Plone 3.2.x

Karen Chan из Isotoma Limited обнаружила ошибку аутентификации при входе в Plone 3.x. Уже зарегистрированный пользователь мог использовать эту ошибку и присвоить логин и пароль другого пользователя.

Этой ошибке был присвоен номер CVE-2009-0662.

Версии, требующие установки обновления

Релизы Plone 3.x.
Plone 2.5 и более ранние версии не требуют установки обновления.

Инсталляция исправлений

Для Plone 3.0.x и 3.1.x

Если Вы работаете с Plone 3.0.x, или Plone 3.1.x, Вы можете загрузить и установить новый дистрибутив PlonePAS. Данный продукт может быть инсталлирован как обычный Plone-продукт:

Для версии Plone 3.0 используйте версию 3.2.2 PlonePAS. Проверьте md5 hash в пакете исправлений - он должен быть следующим: "f88c542bdf8e22674d284418e58c0da8".
Для версии Plone 3.1 используйте версию 3.9 PlonePAS. Проверьте md5 hash в пакете исправлений - он должен быть следующим: "9ddc4d9b3505fe71f2c3e17513680c50".
Извлеките его в папку, где находится Zope.
Перезагрузите Zope.

Если Вы используете Plone 3.0, или Plone 3.1 с buildout Вы можете обновить дистрибутив файла buildout.cfg. Чтобы разгрузить исправления, поступите следующим образом:

Plone 3.0:

[productdistros]

recipe = plone.recipe.distros

urls =

    http://plone.org/products/plonepas/releases/3.2.2/PlonePAS-3.2.2.tar.gz

nested-packages =

version-suffix-packages =

Plone 3.1:

[productdistros]

recipe = plone.recipe.distros

urls =

    http://plone.org/products/plonepas/releases/3.9/PlonePAS-3.9.tar.gz

nested-packages =

version-suffix-packages =

Для Plone 3.2.x

Если Вы работаете с Plone 3.2.x, Вам следует использовать egg-релиз PlonePAS 3.9.

С buildout

Если Вы используете buildout, Вы можете обновить version pin для этого пакета, добавив в файл buildout.cfg следующее:

[versions]

Products.PlonePAS = 3.9

Если в вашем файле buildout.cfg уже есть раздел "[versions]", то добавьте только строку "Products.PlonePAS = 3.9". Если нет раздела "[versions]", то добавьте его в конец файла buildout.cfg.

После внесения этих изменений, вам необходимо остановить Zope, запустить bin/buildout, и запустить Zope.

Для тех, кто не использует buildout

Если Вы не пользуетесь buildout, Вы можете использовать команду easy_install для инсталляции обновленной версии PlonePAS:

$ easy_install -U Products.PlonePAS==3.9

Перезапустите Zope.

Сообщения об ошибках

Никаких сообщений об ошибках не поступало.

Ссылки

CVE CVE-2009-0662

Оригинал статьи на Plone.org

Перевод ООО «Комтет» komtet.ru

Другие документы на эту тему

Zope/Plone хостинг

Хостинг-глоссарий

1С-Битрикс APS Amiro.CMS BILLmanager CMS CSS Content DNS DataLife Engine Django Drupal EZ Publish FAQ FTP ISPConfig ISPmanager ImageMagick Images Javascript Joomla Laravel LiveStreet Mambo Mobile Moodle Movable Type MySQL NetCat OpenVZ PHP PHP BB PHP Nuke PHPMyAdmin PPA Perl Plone PostgreSQL PrestaShop Pylons Python Rails Redmine Ruby Ruby On Rails SFTP SQL SSH SSL SVN Serendipity Shop-Script ShopCMS Sobi 2 Subversion Textpattern Tornado TurboGears UMI.CMS VDS VPS WebAsyst Wiki WinSCP Wordpress XEN Zend Zope artisan buildout cookie eGroupware htaccess phpBB phpList phpPgAdmin shopcms Архивный материал Безопасность Веб-приложения на русском Диагностика Домены Интернет-магазин Конструктор сайтов Контакты Настройки Apache Общие вопросы Панель управления Plesk Поддержка Почта Регистрация доменов Резервирование СУБД Сервер Система биллинга. Описание Форум Электронная коммерция