我们在 Linux 上运行 Plone 4.1rc3 和 Python 2.6.6。我注意到 Python 有一个新版本 2.6.7,其中包含一些安全补丁。Plone 实例在服务器上使用专用的 Python 安装:Python 安装由拥有 Plone 安装的同一用户构建,并且没有其他进程使用它。
第一个问题是,我猜升级是否有必要?如果升级是个好主意,那么我应该遵循什么步骤?我知道如何下载和构建 Python。
答案1
我也对此很好奇。
我想,要确定 plone 是否存在漏洞,就需要检查代码,看看 plone 使用的模块是否存在安全问题:
http://blog.python.org/2011/04/urllib-security-vulnerability-fixed.html-- 影响 FancyURLopener 和 HTTPRedirectHandler
- FancyURLopener - 未在任何地方使用
- HTTPRedirectHandler - 由 feedparser 使用,并使用 plone 所依赖的受影响方法(至少是我所查看的版本)。plone 在其 RSS feed portlet 中使用 feedparser。
http://bugs.python.org/issue9129-- 影响 SMTP 服务器
- SMTPServer-未在任何地方使用
http://bugs.python.org/issue11442-- 影响 SimpleHTTPServer
- SimpleHTTPServer——在文档中被引用;但是,它声明它不使用 SimpleHTTPServer
除非我错过了 python 2.6.7 影响的任何安全漏洞,否则 plone 似乎只受到其中一个漏洞的影响。
Plone 可能不会针对统一安装程序依赖项发布特殊版本,而只会逐步合并新版本的 python。
有必要升级吗?您决定是否有必要。如果您有用户使用 RSS 源 portlet,我会升级。但是,如果您没有用户使用它,您甚至可以暂时禁用该 portlet...
我如何升级?安装新版本,在有 buildout 的地方运行如下命令:
/path/to/python bootstrap.py
./bin/buildout
并重新启动客户端和zeoserver。