Мне тоже любопытно по этому поводу.
Я предполагаю, что для выяснения того, уязвим ли plone, потребуется просмотреть код и выяснить, относятся ли какие-либо проблемы безопасности к модулям, которые использует plone:
http://blog.python.org/2011/04/urllib-security-vulnerability-fixed.html - Влияет на FancyURLopener и HTTPRedirectHandler
- FancyURLopener - нигде не используется
- HTTPRedirectHandler - ИСПОЛЬЗУЕТСЯ feedparser и использует уязвимый метод, от которого зависит plone (по крайней мере, от версии, на которую я смотрю). feedparser используется plone в своем портлете RSS.
http://bugs.python.org/issue9129 - влияет на SMTPServer
- SMTPServer - нигде не используется
http://bugs.python.org/issue11442 - влияет на SimpleHTTPServer
- SimpleHTTPServer - ссылка в документации; хотя, это заявляет, как это НЕ использует SimpleHTTPServer
Если я не пропустил ни одной уязвимости безопасности, на которую влияет python 2.6.7, похоже, что на plone влияет только одна из этих уязвимостей.
Plone, вероятно, не будет выпускать специальные выпуски для унифицированных установочных зависимостей и будет просто постепенно включать новые версии python.
Нужно ли обновлять? Вы сами определяете, нужно это или нет. Если у вас есть пользователи, использующие портлет RSS-канал, я бы обновился. Однако, если у вас нет пользователей, использующих его, вы можете даже отключить портлет тем временем ...
Как мне обновить? Установите новую версию, запустите что-то вроде этого, где у вас есть buildout:
/path/to/python bootstrap.py
./bin/buildout
и перезапустите клиенты и ZeoServer.
