Как применить исправление уязвимости системы безопасности YUI к моему развернутому приложению с помощью Orbeon Forms?

Яху! выпустила исправление безопасности для всех приложений, использующих YUI. Поскольку Orbeon Forms использует YUI, как я могу применить это исправление к используемой мной версии Orbeon Forms?


orbeon xforms
person Orbeon Community    schedule 26.10.2010    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Во-первых, вы в безопасности и вам не нужно исправлять Orbeon Forms, если вы используете версию Orbeon Forms, выпущенную 25 октября 2010 г. или позже (день объявления уязвимости системы безопасности и исправления).

Если вы используете более раннюю сборку:

  1. Разархивируйте файл WEB-INF/lib/orbeon-resources-public.jar во временный каталог.
  2. В этом каталоге откройте ops/yui/yahoo/yahoo.js. В верхней части файла вы увидите номер версии (например, 2.6.0). Это говорит вам, какую версию YUI использует ваша сборка Orbeon Forms.
  3. Со страницы YUI об этой уязвимости системы безопасности загрузите исправления для используемой версии YUI. вашей сборкой Orbeon Forms.
  4. Примените исправления, заменив файлы swf во временном каталоге файлами из загруженных вами исправлений. Файл YUI находится в папке ops/yui вашего временного каталога.
  5. На всякий случай сделайте копию WEB-INF/lib/orbeon-resources-public.jar в своей сборке Orbeon Forms.
  6. Заархивируйте содержимое вашего временного каталога в файл с именем orbeon-resources-public.jar и переместите его в WEB-INF/lib в сборке Orbeon Forms, заменив существующую копию этого файла созданной вами версией.
person avernet    schedule 26.10.2010
comment
Вы уверены, что это исправлено? Глядя на Orbeon 4.9.0 CE, MD5 файла uploader.swf в orbeon-resources-private/ops/yui/uploader — 967bec3a39d75872c1813db9198f90ef. Согласно странице YUI, это неисправленный вариант версии 2.8.2. Означает ли это, что патч по-прежнему нужно применять вручную? - person sschwieb; 10.12.2015
comment
Да, действительно, это вызывает недоумение. Используемая (древняя) версия YUI — 2.8.1, но MD5 файла uploader.swf соответствует неисправленной версии 2.8.2, согласно странице, на которую вы указываете. Этот файл был обновлен в следующем коммите от 25 октября 2010 г.: -формы/коммит/. - person avernet; 10.12.2015
comment
Теперь я бы не беспокоился об этом, так как этот файл не будет включен в страницу Orbeon Forms. На самом деле Flash от YUI никогда не будет включен. Недавно мы даже удалили код, который никогда не запускался, но мог включать SWF (github.com /orbeon/orbeon-forms/commit/). В дополнение к этому, я думаю, мы должны просто удалить swf-файлы YUI. Вам от этого полегчает ;)? - person avernet; 10.12.2015
comment
Спасибо за быстрый ответ и объяснение - и да, это было бы! :) - person sschwieb; 11.12.2015
comment
@sschwieb Тогда было решено: мы просто удалим эти файлы YUI .swf. - person avernet; 11.12.2015
comment
@sschwieb Вы идете: эти файлы теперь удалены, и это изменение будет в 4.11. Спасибо, что сообщили нам об этом! github.com/orbeon/orbeon-forms/issues/2535 - person avernet; 06.02.2016