SPIP Blog
Mise à jour critique de sécurité : sorties de SPIP 4.0.5 et SPIP 3.2.14SPIP 4.0.5
Cette version SPIP 4.0.5 corrige
- une faille critique qui permettait une exécution arbitraire de code PHP (avec un accès rédacteur au site). Merci à g0uZ pour le signalement :)
- une faille permettant un accès non authentifié et non autorisé à des informations des objets éditoriaux. Merci à g0uZ de nouveau.
L’écran de sécurité ne couvre pas ces failles, il est donc indispensable de mettre à jour.
Autres corrections
- Ne pas créer d’erreur fatale en PHP 8 si ini_set() est désactivé.
- Correction d’échappements (avec SQLite)
- Quelques warnings corrigés
- Mots : permettre d’afficher les mots du groupe que l’on souhaite dans un formulaire d’association de mots clefs dans l’espace public
- Dist : rétablir l’affichage du message d’erreur quand le lien de changement de mot de passe est invalide
Changements
La faille principale exploitait un code non utilisé dans SPIP depuis SPIP 3.0 concernant un mode Galerie sur l’ajout de documents du plugin Médias. Il était encore présent pour compatibilité ascendante. Il est extrêmement peu probable que des sites utilisaient encore cette fonctionnalité depuis SPIP 3.0.
Néanmoins si tel était le cas sur votre site (et que c’est encore utilisé), il faut maintenant déclarer absolument le ou les fichiers de galerie autorisés à SPIP en les indiquant dans la variable globale medias_deprecated_liste_galeries qui est un tableau listant ces fichiers.
Nous avons par ailleurs déprécié totalement ce code, qui sera donc supprimé dans une prochaine version, probablement pour SPIP 5.0.
SPIP 3.2.14
Cette version SPIP 3.2.14 corrige une faille critique qui permettait une exécution arbitraire de code PHP (avec un accès rédacteur au site). Merci à g0uZ pour le signalement :)
Autres corrections
- Mots : permettre d’afficher les mots du groupe que l’on souhaite dans un formulaire d’association de mots clefs dans l’espace public
- Dist : rétablir l’affichage du message d’erreur quand le lien de changement de mot de passe est invalide
Changements
Même remarque (et adaptations éventuelles) que pour SPIP 4.0.5.
À venir
Nous allons publier très rapidement une version SPIP 4.1.0-rc avec plus de changements que prévu initialement !
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 5.1.0).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Résumé des versions de SPIP
| Branche | Version | Suivi | Compatibilité PHP |
|---|---|---|---|
| SPIP 4.1 | SPIP 4.1.0-beta | Branche test | PHP 7.4 à PHP 8.1 |
| SPIP 4.0 | SPIP 4.0.5 | Branche stable | PHP 7.3 à PHP 8.0 |
| SPIP 3.2 | SPIP 3.2.14 | Branche stable | PHP 5.4 à PHP 7.4 |
Les versions SPIP 3.1 et antérieures ne sont plus maintenues.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net
Vous pouvez aussi poster un message et échanger sur :
- La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
- La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net
Messages
5 mars 2022, 12:26, par inaden
Bonjour,
Le lien sur la page https://www.spip.net/fr_download ne permet pas de télécharger la version 4.0.5 mais la .0.4 contrairement à ce qui est indiqué dans le mail d’alerte pour la faille de sécurité.
N’utilisant pas SPIP_loader, merci d’avance pour cette correction pour ajouter dans cette page un lien vers la version 5.
Vous souhaitant malgré tout un agréable week-end.
Cordialement,
Denis
5 mars 2022, 13:33, par Marcimat
Merci @inaden,
C’était en fait juste un petit problème de cache de la page fr_download. C’est corrigé.
Merci.
6 mars 2022, 08:31, par inaden
Merci.
Bon dimanche.
7 mars 2022, 15:33, par jfd
Bonjour,
j’ai récupéré la 3.2.14 pour remplacer une 3.2.11 en mode bourrin (on écrase tout sauf img et connect)
Contrairement à d’habitude, le N° de version dans le privé, est resté en 3.2.11
Même après avoir tué le local, le TMP et effacé le cache.
C’est grave docteur ?
Clt
7 mars 2022, 18:19, par jfd
je me répond à moi-même :
Je mettais à jour un autre site, vraiment bourrin à tous les niveaux...
– :)
désolé pour le bruit inutile
Clt
14 mars 2022, 12:28, par Anthony
Bonjour,
Je viens de migrer de spip 3.2.12 (version 3.2.14 dispo) vers Spip 4.0.5 avec
HTML5 UP Landed 1.2.2.
Changeant d’hébergeur je suis parti sur une installation fraîche.
Tout semble bon pour le moment dans mon cas en mode compatibilité forcée.
_ Passage à spip 4.0.5
Pour migrer j’ai fait :
– un dump sql via phpmyadmin (export sql de ma bd spip 3.2.12 puis import via phpmyadmin dans ma nouvelle base.
– modifié le préfixe de table dans config/connect.php par celui de mes anciennes tables
– retourné sur monsitespip/ecrire
– validé la mise à jour de la base de donnée proposée dans l’espace privé
_ Intallation de HTML5 UP Landed 1.2.2
J’ai modifié le fichier config/mes_options.php en ajoutant une ligne
puis installé HTML5 UP Landed 1.2.2 via l’url
https://files.spip.org/spip-zone/spip-contrib-squelettes/html5up_landed-3b58e-v1.2.2.zip
J’ai installé le plugin Saisies pour formulaires 4.3.2 (≥ 3.23.2 nécessaire pour html5_landed) compatible spip 4.0 via l’url :
https://files.spip.org/spip-zone/sp...
Et c’est tout bon.
Cordialement, Anthony.