1

Мы запускаем Plone 4.1rc3 с Python 2.6.6 в Linux. Я заметил, что есть новая версия Python 2.6.7, которая содержит некоторые исправления безопасности. Экземпляр Plone использует выделенную установку Python на сервере: установка Python была собрана тем же пользователем, которому принадлежит установка Plone, и никакие другие процессы не используют его.

Первый вопрос: я думаю, нужно ли обновление? Если это хорошая идея для обновления, то какие шаги я должен следовать? Я знаю, как скачать и собрать Python.

1 ответ1

3

Мне тоже любопытно по этому поводу.

Я предполагаю, что для выяснения того, уязвим ли plone, потребуется просмотреть код и выяснить, относятся ли какие-либо проблемы безопасности к модулям, которые использует plone:


http://blog.python.org/2011/04/urllib-security-vulnerability-fixed.html - Влияет на FancyURLopener и HTTPRedirectHandler

  • FancyURLopener - нигде не используется
  • HTTPRedirectHandler - ИСПОЛЬЗУЕТСЯ feedparser и использует уязвимый метод, от которого зависит plone (по крайней мере, от версии, на которую я смотрю). feedparser используется plone в своем портлете RSS.

http://bugs.python.org/issue9129 - влияет на SMTPServer

  • SMTPServer - нигде не используется

http://bugs.python.org/issue11442 - влияет на SimpleHTTPServer

  • SimpleHTTPServer - ссылка в документации; хотя, это заявляет, как это НЕ использует SimpleHTTPServer

Если я не пропустил ни одной уязвимости безопасности, на которую влияет python 2.6.7, похоже, что на plone влияет только одна из этих уязвимостей.

Plone, вероятно, не будет выпускать специальные выпуски для унифицированных установочных зависимостей и будет просто постепенно включать новые версии python.

Нужно ли обновлять? Вы сами определяете, нужно это или нет. Если у вас есть пользователи, использующие портлет RSS-канал, я бы обновился. Однако, если у вас нет пользователей, использующих его, вы можете даже отключить портлет тем временем ...

Как мне обновить? Установите новую версию, запустите что-то вроде этого, где у вас есть buildout:

/path/to/python bootstrap.py
./bin/buildout

и перезапустите клиенты и ZeoServer.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .