1
Yahoo!爲所有使用YUI的應用程序發佈了security patch。由於Orbeon Forms使用YUI,我如何在我使用的Orbeon Forms版本上應用此修補程序?如何使用Orbeon Forms在我部署的應用程序上應用YUI安全漏洞修補程序?
Yahoo!爲所有使用YUI的應用程序發佈了security patch。由於Orbeon Forms使用YUI,我如何在我使用的Orbeon Forms版本上應用此修補程序?如何使用Orbeon Forms在我部署的應用程序上應用YUI安全漏洞修補程序?
首先,你是安全的,不需要,如果你使用的是版本2010年10月25日(安全漏洞和補丁公佈之日)或之後發佈Orbeon形式修補Orbeon形式。
如果您使用的是較早的版本:
WEB-INF/lib/orbeon-resources-public.jar
。ops/yui/yahoo/yahoo.js
。在文件頂部,您會看到一個版本號(例如2.6.0)。這告訴你Orbeon Forms使用的YUI版本是什麼。swf
應用補丁。 YUI文件位於臨時目錄中的ops/yui
下。WEB-INF/lib/orbeon-resources-public.jar
的副本在你的Orbeon形式建立。orbeon-resources-public.jar
的文件中,並將它移動到Orbeon Forms構建中的WEB-INF/lib
,並用您創建的版本替換該文件的現有副本。
你確定這是固定的?在Orbeon 4.9.0 CE中,orbeon-resources-private/ops/yui/uploader中uploader.swf的MD5是967bec3a39d75872c1813db9198f90ef。根據[YUI頁面](http://yuilibrary.com/support/20121030-vulnerability/#dropins),這是2.8.2版的未修補版本。這是否意味着該補丁仍然需要手動應用? – sschwieb 2015-12-09 22:35:38
是的,的確,這是令人費解的。根據您指向的頁面,使用YUI的(古)版本是2.8.1,但uploader.swf的MD5對應於未修補的2.8.2。該文件在2010年10月25日以後的更新中提交:https://github.com/orbeon/orbeon-forms/commit/0d02adf6a0041676fa564b0ccba4360160915d11。 – avernet 2015-12-10 06:32:42
現在,我不會爲此擔心,因爲這個文件不會被Orbeon Forms包含在頁面中。事實上,YUI中沒有任何閃存將被包含在內。最近,我們甚至刪除了從未運行但可能包含swf的代碼(https://github.com/orbeon/orbeon-forms/commit/721e42d84148343b916280bba7682ce952cf9693)。除此之外,我認爲我們應該刪除YUI swf文件。這會讓你感覺更好嗎?)? – avernet 2015-12-10 06:38:43