CVE-2009-0662: Ошибка аутентификации при входе (Plone)
Исправление включено в обновление PlonePAS (Pluggable Authentication System - подключаемая система аутентификации).
- Список поврежденных версий Plone
- Инструкции по инсталляции исправлений на Plone 3.0.x или Plone 3.1.x
- Инструкции для Plone 3.2.x
Karen Chan из Isotoma Limited обнаружила ошибку аутентификации при входе в Plone 3.x. Уже зарегистрированный пользователь мог использовать эту ошибку и присвоить логин и пароль другого пользователя.
Этой ошибке был присвоен номер CVE-2009-0662.
Версии, требующие установки обновления
- Релизы Plone 3.x.
- Plone 2.5 и более ранние версии не требуют установки обновления.
Инсталляция исправлений
Если Вы работаете с Plone 3.0.x, или Plone 3.1.x, Вы можете загрузить и установить новый дистрибутив PlonePAS. Данный продукт может быть инсталлирован как обычный Plone-продукт:
- Для версии Plone 3.0 используйте версию 3.2.2 PlonePAS. Проверьте md5 hash в пакете исправлений - он должен быть следующим: "f88c542bdf8e22674d284418e58c0da8".
- Для версии Plone 3.1 используйте версию 3.9 PlonePAS. Проверьте md5 hash в пакете исправлений - он должен быть следующим: "9ddc4d9b3505fe71f2c3e17513680c50".
- Извлеките его в папку, где находится Zope.
- Перезагрузите Zope.
Если Вы используете Plone 3.0, или Plone 3.1 с buildout Вы можете обновить дистрибутив файла buildout.cfg. Чтобы разгрузить исправления, поступите следующим образом:
Plone 3.0:
[productdistros] recipe = plone.recipe.distros urls = http://plone.org/products/plonepas/releases/3.2.2/PlonePAS-3.2.2.tar.gz nested-packages = version-suffix-packages =
Plone 3.1:
[productdistros] recipe = plone.recipe.distros urls = http://plone.org/products/plonepas/releases/3.9/PlonePAS-3.9.tar.gz nested-packages = version-suffix-packages =
Если Вы работаете с Plone 3.2.x, Вам следует использовать egg-релиз PlonePAS 3.9.
С buildout
Если Вы используете buildout, Вы можете обновить version pin для этого пакета, добавив в файл buildout.cfg следующее:
[versions] Products.PlonePAS = 3.9
Если в вашем файле buildout.cfg уже есть раздел "[versions]", то добавьте только строку "Products.PlonePAS = 3.9". Если нет раздела "[versions]", то добавьте его в конец файла buildout.cfg.
После внесения этих изменений, вам необходимо остановить Zope, запустить bin/buildout, и запустить Zope.
Для тех, кто не использует buildout
Если Вы не пользуетесь buildout, Вы можете использовать команду easy_install для инсталляции обновленной версии PlonePAS:
$ easy_install -U Products.PlonePAS==3.9
Перезапустите Zope.
Сообщения об ошибках
Никаких сообщений об ошибках не поступало.
Ссылки
- CVE CVE-2009-0662
Оригинал статьи на Plone.org
Перевод ООО «Комтет» komtet.ru