【发布时间】:2012-11-09 08:48:01
【问题描述】:
我们正在运行旧版本的 plone(版本 2.0.5)。 (我们明年会迁移到plone 4)
我试图安装 Plone Hotfix 20121106,但是(如安装说明中所述),该修补程序不适用于 plone 2.0.5 版本。
问题:
- security vulnerabilites 是否也与克隆版本 2.0.5 相关?
- 还有其他方法可以在旧版本的 plone 上安装修补程序吗?
【问题讨论】:
【发布时间】:2012-11-09 08:48:01
【问题描述】:
一些安全漏洞确实适用于 2.0.5,是的。
但是,此修补程序未解决 2.0.5 中的其他未修补漏洞,您希望尽快摆脱此旧版本。 Plone 安全团队不为 Plone 版本提供官方支持这个旧版本;目前支持 3.x 和 4.x 版本。
您可以将修补程序解压缩到您的产品文件夹中,它应该可以正常工作。我相信人们已经在 2.0.x 安装上对其进行了测试;测试覆盖率确实在 2.1 上运行。不过,您必须运行自己的测试,以确保在安装修复程序时没有任何(重要的)中断。
【讨论】:
-
我已经按照安装说明安装了修补程序。 Hotfix 现在在 ZMI 中的 RootFolder -> Control Panel -> Products -> PloneHotfix20121106 下可见,但是在 Plone Instance 启动期间我没有看到任何有关该 hotfix 的 LogEntries。这就是为什么我不确定修补程序是否已成功安装到我的实例...
-
@David:是的,该修补程序使用
INFO级别的消息来通知您它尝试应用的修复程序,如果有任何未能应用的修复程序,它将记录WARN级别的消息。 22 个补丁中有 7 个是可选的;它们仅适用于可以导入某些包的情况。尝试在fg前台模式下运行以查看任何日志消息。 -
通过查看启动期间的日志输出,我发现无法安装这些修补程序部分: - gtbn - members_tool - queryCatalog - uid_catalog - renameObjectsByPaths - at_download - safe_html - vatat - random_string 问题:是没有安装的零件很重要吗?如果是的话,我还能做些什么让我的克隆网站更安全。到目前为止,我们正在使用入侵检测系统来确保没有人修改 zope 内容/脚本。
-
我将不得不给您与安全团队相同的回复:不再支持 2.0,我不知道这是否会给您带来问题。 2.0 太旧了。