Récemment des experts en sécurité se sont penchés sur le code SPIP et nous ont signalés quelques problèmes.
Il s’agit principalement de failles de type XSS, qui ne constituent pas des failles critiques, mais il est recommandé de mettre à jour votre SPIP.
Ces nouvelles versions intègrent les correctifs nécessaires.
Pour information, l’écran de sécurité ne protège pas des failles XSS découvertes.
Seule la mise à jour de SPIP vous garantit d’avoir un site sécurisé.
Nous remercions Tim Coen (Curesec), Christophe Imberti et Philippe Brehmer pour ces signalements.
Ces nouvelles versions comprennent aussi des correctifs de bugs identifiés ces derniers mois :
- correction d’un bug sur la fonction recuperer_page()
- amélioration de la gestion du multilinguisme dans l’espace privé
- correction d’un bug sur les statistiques journalier d’un article donné
- correction d’un bug dans les messages de retour du gestionnaire de plugin
- amélioration de la prise en charge des caractères spéciaux dans les URLs propres
- correction d’un bug dans la gestion des liens de traductions lors de l’utilisation du multilinguisme par secteur
- correction de plusieurs bugs lors de l’édition de texte en mode plein écran
- correction d’un bug qui empêchait de déplacer une rubrique à la racine depuis le bloc fil d’ariane
- correction d’un bug qui n’affichait pas le bon nom d’expéditeur dans le système de messagerie interne
- amélioration de la détection des documents insérés dans le texte si l’appel contient une majuscule
- rétablissement de la fenêtre de confirmation lors de la demande de suppression d’un plugin
- correction d’un bug lors d’un double clic sur le bouton de prévisualisation des forums
- correction d’un bug qui empêchait la récupération des informations de mises à jour de SPIP
- amélioration du comportement du critère branche utilisé de manière optionnelle
- correction d’un bug dans la gestion du cache compressé
- correction d’un bug d’affichage des documents joints dans le squelettes par défaut lors de l’utilisation des URLs arborescentes
- mise à jour de la librairie GetId3
Consulter l’ensemble des corrections apportées
Les mises à jour suivantes sont disponibles
Version 3.1.2
http://files.spip.net/spip/archives/SPIP-v3.1.2.zip
Version 3.0.23
http://files.spip.net/spip/archives/SPIP-v3.0.23.zip
À propos de la branche 2.1
Nous ne sortons pas de nouvelle version dans la branche SPIP 2.1.
Pour les sites SPIP où l’inscription des rédacteurs est ouverte, merci aussi de lire l’article
https://blog.spip.net/Inscription-malicieuse-de-faux-redacteurs.html
Nous travaillons toujours sur un correctif pour ce problème
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.9) qui installe SPIP 3.1 par défaut
http://www.spip.net/spip-dev/INSTALL/spip_loader.php
Résumé du suivi des versions de SPIP
Branche | Version | Suivi |
---|---|---|
SPIP 3.1 | SPIP 3.1.2 | Branche stable |
SPIP 3.0 | SPIP 3.0.23 | Branche maintenue |
SPIP 2.1 | SPIP 2.1.29 | Branche maintenue (mise à jour de sécurité uniquement) |
Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter un piratage
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
Une question, besoin d’aide ?
En cas de problème ou de difficultés, allez sur http://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net