Eu também estou curioso sobre isso.
Eu acho que para descobrir se o plone é vulnerável, seria necessário passar pelo código e ver se alguma das questões de segurança diz respeito aos módulos plone usa:
link - afeta o FancyURLopener e o HTTPRedirectHandler
- FancyURLopener - não encontrado em uso em qualquer lugar
- HTTPRedirectHandler - USADO pelo feedparser e usa o método afetado do qual plone depende (pelo menos a versão que estou vendo). O feedparser é usado pelo plone em seu portlet de feeds RSS.
link - afeta o SMTPServer
- SMTPServer - não usado em qualquer lugar
link - afeta o SimpleHTTPServer
- SimpleHTTPServer - é referenciado na documentação; no entanto, ele declara como NÃO usa o SimpleHTTPServer
A não ser que eu tenha perdido alguma vulnerabilidade de segurança do python 2.6.7, parece que o plone é afetado apenas por uma dessas vulnerabilidades.
O Plone provavelmente não fará lançamentos especiais para dependências unificadas do instalador e apenas incorporará novas versões do python.
É necessário atualizar? Você determina se é necessário ou não. Se você tiver usuários usando o portlet de feed rss, eu atualizaria. No entanto, se você não tem usuários usando, você pode até mesmo desativar o portlet enquanto isso ...
Como faço para atualizar? Instale a nova versão, execute algo como isto em que você tem o buildout:
/path/to/python bootstrap.py
./bin/buildout
e reinicie os clientes e o zeoserver.