Mise à jour de maintenance et sécurité :  sortie de SPIP 4.2.7, SPIP 4.1.13

SPIP version 4.2.7

La version 4.2.7 améliore un petit point de sécurité sur l’utilisation des modèles afin d’éviter une faille de type XSS.

Elle apporte les améliorations ou corrections de bugs suivantes :

• éviter une XSS via l’appel de certains modèles
• si le texte est sécurisé pour cause de HTML suspect, ne pas perdre le contexte des modèles
• éviter des collisions avec les noms de cache des fichiers distants
• traitement identique du paramètre type dans autoriser_exception et autoriser
• éviter une boucle infinie dans recuperer_url() avec certaines configurations serveur
• éviter une erreur fatale en PHP 8.2 sur objet_inserer et article_inserer sans être authentifié.
• ne pas avoir un bouton « annuler le job » qui ressemble à un bouton « fermer la notification » + une classe en trop
• installation : corriger la création du webmestre depuis une vieille base.
• formulaire multi-étapes : si tout est bien passé, recommencer à zéro et pas à la dernière étape
• éviter un warning si spip_getimagesize() est appelée sur un fichier non présent
• éviter un warning avec var_profile=1
• pipelines pre_edition et post_edition : lors d’institution, transmettre aussi les infos objet, table_objet, spip_table_objet.
• amélioration de la présentation des boutons de gestion du logo
• aide
  • balise (interne) <aide:code> pour faciliter la rédaction de l’aide
  • réécriture de l’aide (fr) avec quelques simplifications
  • mentionner l’écriture des blocs de code à base de backticks
• medias
  • accolade manquante dans modeles/file.html
  • prise en compte du nombre de pagination choisie dans la popin de médiathèque.
  • accessibilité et UX des boutons de gestion des documents
  • HTML mal formé sur modeles/document_desc.html
• svp
  • conserver le filtrage JS de la liste des plugins si on demande le détail d’un plugin
• textwheel
  • les blocs de code peuvent utiliser plus de 3 backticks
  • l’info de langage des blocs de code de 3 ou + backticks peut contenir des espaces
  • attribut role="list" sur les <ul>
• squelettes-dist
  • corriger les tailles de typo sur les label et les legend

SPIP version 4.1.13

La version 4.1.13 intègre uniquement le correctif de sécurité sur l’utilisation des modèles.

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 6.1.3).

Le spip_loader est maintenant distribué à l’adresse suivante :
https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans un format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

• Seenthis : https://seenthis.net/people/spip
• X : https://twitter.com/spip
• Facebook : https://www.facebook.com/spip.net
• Mamot : https://mamot.fr/@spip

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net

Vous pouvez aussi poster un message et échanger sur :

• La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
• La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net.