1
Yahoo!为所有使用YUI的应用程序发布了security patch。由于Orbeon Forms使用YUI,我如何在我使用的Orbeon Forms版本上应用此修补程序?如何使用Orbeon Forms在我部署的应用程序上应用YUI安全漏洞修补程序?
Yahoo!为所有使用YUI的应用程序发布了security patch。由于Orbeon Forms使用YUI,我如何在我使用的Orbeon Forms版本上应用此修补程序?如何使用Orbeon Forms在我部署的应用程序上应用YUI安全漏洞修补程序?
首先,你是安全的,不需要,如果你使用的是版本2010年10月25日(安全漏洞和补丁公布之日)或之后发布Orbeon形式修补Orbeon形式。
如果您使用的是较早的版本:
WEB-INF/lib/orbeon-resources-public.jar
。ops/yui/yahoo/yahoo.js
。在文件顶部,您会看到一个版本号(例如2.6.0)。这告诉你Orbeon Forms使用的YUI版本是什么。swf
应用补丁。 YUI文件位于临时目录中的ops/yui
下。WEB-INF/lib/orbeon-resources-public.jar
的副本在你的Orbeon形式建立。orbeon-resources-public.jar
的文件中,并将它移动到Orbeon Forms构建中的WEB-INF/lib
,并用您创建的版本替换该文件的现有副本。
你确定这是固定的?在Orbeon 4.9.0 CE中,orbeon-resources-private/ops/yui/uploader中uploader.swf的MD5是967bec3a39d75872c1813db9198f90ef。根据[YUI页面](http://yuilibrary.com/support/20121030-vulnerability/#dropins),这是2.8.2版的未修补版本。这是否意味着该补丁仍然需要手动应用? – sschwieb 2015-12-09 22:35:38
是的,的确,这是令人费解的。根据您指向的页面,使用YUI的(古)版本是2.8.1,但uploader.swf的MD5对应于未修补的2.8.2。该文件在2010年10月25日以后的更新中提交:https://github.com/orbeon/orbeon-forms/commit/0d02adf6a0041676fa564b0ccba4360160915d11。 – avernet 2015-12-10 06:32:42
现在,我不会为此担心,因为这个文件不会被Orbeon Forms包含在页面中。事实上,YUI中没有任何闪存将被包含在内。最近,我们甚至删除了从未运行但可能包含swf的代码(https://github.com/orbeon/orbeon-forms/commit/721e42d84148343b916280bba7682ce952cf9693)。除此之外,我认为我们应该删除YUI swf文件。这会让你感觉更好吗?)? – avernet 2015-12-10 06:38:43