Яху! выпустила исправление безопасности для всех приложений, использующих YUI. Поскольку Orbeon Forms использует YUI, как я могу применить это исправление к используемой мной версии Orbeon Forms?
Как применить исправление уязвимости системы безопасности YUI к моему развернутому приложению с помощью Orbeon Forms?
Ответы (1)
Во-первых, вы в безопасности и вам не нужно исправлять Orbeon Forms, если вы используете версию Orbeon Forms, выпущенную 25 октября 2010 г. или позже (день объявления уязвимости системы безопасности и исправления).
Если вы используете более раннюю сборку:
- Разархивируйте файл
WEB-INF/lib/orbeon-resources-public.jar
во временный каталог. - В этом каталоге откройте
ops/yui/yahoo/yahoo.js
. В верхней части файла вы увидите номер версии (например, 2.6.0). Это говорит вам, какую версию YUI использует ваша сборка Orbeon Forms. - Со страницы YUI об этой уязвимости системы безопасности загрузите исправления для используемой версии YUI. вашей сборкой Orbeon Forms.
- Примените исправления, заменив файлы
swf
во временном каталоге файлами из загруженных вами исправлений. Файл YUI находится в папкеops/yui
вашего временного каталога. - На всякий случай сделайте копию
WEB-INF/lib/orbeon-resources-public.jar
в своей сборке Orbeon Forms. - Заархивируйте содержимое вашего временного каталога в файл с именем
orbeon-resources-public.jar
и переместите его вWEB-INF/lib
в сборке Orbeon Forms, заменив существующую копию этого файла созданной вами версией.
person
avernet
schedule
26.10.2010
Вы уверены, что это исправлено? Глядя на Orbeon 4.9.0 CE, MD5 файла uploader.swf в orbeon-resources-private/ops/yui/uploader — 967bec3a39d75872c1813db9198f90ef. Согласно странице YUI, это неисправленный вариант версии 2.8.2. Означает ли это, что патч по-прежнему нужно применять вручную?
- person sschwieb; 10.12.2015
Да, действительно, это вызывает недоумение. Используемая (древняя) версия YUI — 2.8.1, но MD5 файла uploader.swf соответствует неисправленной версии 2.8.2, согласно странице, на которую вы указываете. Этот файл был обновлен в следующем коммите от 25 октября 2010 г.: -формы/коммит/.
- person avernet; 10.12.2015
Теперь я бы не беспокоился об этом, так как этот файл не будет включен в страницу Orbeon Forms. На самом деле Flash от YUI никогда не будет включен. Недавно мы даже удалили код, который никогда не запускался, но мог включать SWF (github.com /orbeon/orbeon-forms/commit/). В дополнение к этому, я думаю, мы должны просто удалить swf-файлы YUI. Вам от этого полегчает ;)?
- person avernet; 10.12.2015
Спасибо за быстрый ответ и объяснение - и да, это было бы! :)
- person sschwieb; 11.12.2015
@sschwieb Тогда было решено: мы просто удалим эти файлы YUI .swf.
- person avernet; 11.12.2015
@sschwieb Вы идете: эти файлы теперь удалены, и это изменение будет в 4.11. Спасибо, что сообщили нам об этом! github.com/orbeon/orbeon-forms/issues/2535
- person avernet; 06.02.2016