このサイトについて

Zope同梱のdocutilsにセキュリティホール

Zope同梱のdocutilsにセキュリティホール

http://permalink.gmane.org/gmane.comp.web.zope.announce/1069

Zope 2.6以上に同梱のdocutilsにセキュリティ上の問題が発見された模様。対策のためのHot Fixがリリースされてます。不特定多数のユーザがreStructuredTextを編集できる環境にあるサイトでは,ぜひこのパッチを適用しましょう。

以下,上記アナウンスの超訳。


こんにちは。

Zope 2.6以上に同梱されているDocutilsパッケージにセキュリティ上の問題が発見されました。reStructuredTextの機能を信用できないユーザに公開しているサイト(登録ユーザがコンテンツを編集できるようになっているポータルサイトのような)が影響を受ける可能性があります。

Hot Fixが以下からダウンロードできます。

http://www.zope.org/Products/Zope/Hotfix_2005-10-09/security_alert

このHot FixはZope 2.7,および2.8のどのバージョンでも動くはずです。Zope 2.6とPython 2.1でも動くはずですが,Zope 2.6はメンテナンスされていないので動作は保証しません。Ploneサイトは影響を受けないようです(ZopeのreSTの実装に手を入れて問題の機能を使えなくしているようです)が,保証のかぎりではありません。

まもなくリリース予定のZope 2.8.2 and 2.7.8はこのHot Fixとともにリリースします。

Andreas Jung

2010-08-27 04:36