Des failles de sécurité nous ont été signalées sur la branche 4.0, elles permettent des injections SQL, de l’exécution de code à distance, ainsi que quelques XSS. Merci à Charles Fol et Théo Gordyjan pour ces multiples signalements ! La version SPIP 4.0.1 corrige toutes ces failles.
Nous sortons aussi une version SPIP 3.2.12 qui corrige ces failles pour la branche 3.2.
Il est impératif de mettre à jour votre site SPIP dès que possible.
Il n’a pas été possible de faire en sorte que l’écran de sécurité corrige ces failles, nous vous conseillons donc vivement de faire cette mise à jour.
Autres améliorations et corrections
La version SPIP 4.0.1 propose également quelques améliorations et corrige certains bugs, parmi lesquels :
- corrections sur le téléversement de fichiers (BigUp) qui pouvait provoquer une erreur à la fin d’un transfert,
- correction sur les fichiers de cache de SPIP (4.0) qui se recalculaient inutilement,
- correction d’un bug empêchant l’enregistrement d’un article quand sa prévisualisation affiche un formulaire
- correction sur le sélecteur de date qui générait des dates invalides lorsque l’interface privée est en anglais
- unification de l’apparence des menus déroulants dans l’espace privé
- correction d’un bug d’affichage des documents audio/vidéo insérés dans l’espace privé
- correction d’un bug qui pouvait enregistrer dans le navigateur le mot de passe saisie lors de l’édition d’un auteur dans l’espace privé
- amélioration de l’affichage des images SVG dans l’espace privé sur petit écran
- ajout de l’information du poids de l’image en plus de ses dimensions dans le bloc d’édition des logos d’objets
- amélioration de l’affichage de la page de login quand le site utilise une image haute définition en arrière plan
- correction de problèmes d’affichage pour certaines icones en langue RTL
- amélioration de la fonction de surlignage des termes lors de la recherche afin qu’elle fonctionne aussi lors d’un rechargement AJAX
- correction d’un bug pouvant entraîner une fuite de données quand un formulaire était utilisé dans un modèle
- amélioration de l’affichage des images insérées dans le texte des objets dans l’espace privé
- correction d’un bug qui pouvait empêcher le téléversement d’un fichier SVG lors de l’utilisation du mod_security d’Apache
- correction d’un bug qui provoquait le non affichage des images SVG dans les fenêtres modales
- amélioration du balisage utilisée pour afficher une image SVG dans le contenu d’un objet
- correction d’un bug d’affichage de la médiathèque quand un document comporte une très longue URL dans son titre ou ses crédits
- rétablissement de la fonction d’optimisation des anciennes révisions en base de données
- correction de l’affichage de la liste des sites syndiquées en colonne latérale dans l’espace privé
Nous avons aussi introduit PHP_CodeSniffer comme outil de développement et formaté le code SPIP en accord avec nos règles de codage cf https://www.spip.net/fr_article6677.html & https://discuter.spip.net/t/coding-standards/155150/20
Les fichiers de langue qui contiennent le précieux travail fourni par les personnes qui participent à la traduction de l’interface de SPIP ont aussi été mis à jour.
De nombreuses pages de documentation ont été créées ou mises à jour sur https://www.spip.net
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 5.0.1).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Résumé des versions de SPIP
Branche | Version | Suivi |
---|---|---|
SPIP 4.0 | SPIP 4.0.1 | Branche stable |
SPIP 3.2 | SPIP 3.2.12 | Branche maintenue |
Les versions SPIP 3.1 et antérieures ne sont plus maintenues.
Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Si vous êtes un peu perdu⋅e il y aura certainement une personne pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur le site https://discuter.spip.net
Comment être tenu au courant de ces annonces ?
C’est simple, suivez la liste « Annonces » du site https://discuter.spip.net
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, allez sur https://discuter.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net
Messages
15 décembre 2021, 17:30, par Patrick
Bonjour ? mes plugins ne fonctionnent plus en local sous Mamp, même ceux auquels j’ai transformé le 4.0 du xml en 4.0.1.
Le site s’affiche bien sinon.
Merci
15 décembre 2021, 18:10, par Jean-Michel
Bonjour
Après la mise à jour vers spip 4.0.1 qui semble avoir bien fonctionné, j’ai eu besoin de créer un mot clef associé à une rubrique. Impossible de le faire. J’ai le message d’erreur mot_edit : Accès interdit
Je soupçonne un bug lié à la mise à jour car je n’avais pas ce problème auparavant.
J’ai tenté la solution indiquée ici
https://contrib.spip.net/Message-d-erreur-Acces-interdit
mais elle ne fonctionne pas.
15 décembre 2021, 18:53, par erational
@Patrick
peux tu donner les bornes de tes plugins perso ?
@jean-michel
est ce que tes plugins sont à jour ?
essaie de voir si tu reproduis le bug en desactivant les plugins (pour identifier le plugin fautif)
16 décembre 2021, 09:25, par Bibliosurf
Merci pour cette mise à jour et particulièrement le correctif sur le cache.
16 décembre 2021, 19:45, par Jean-Michel
@erational
Mes plugins sont bien à jour.
J’ai aussi testé après les avoir tous désactivés, mais ça n’a pas éliminé l’erreur.
17 décembre 2021, 10:41, par Didier
Où se trouve le fichier Spip loader de la version SPIP 3.2.12 ?
Merci
17 décembre 2021, 13:57, par Franck
« Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader … »
**aussi** ? Il y a un autre moyen ?
18 décembre 2021, 08:42, par Patrick
Merci pour la réponse : j’avais mis comme borne « 4.0.1 » alors qu’il fallait mettre « 4.0.* » dans chaque « paquet.xml ».
J’ai même pu reconnecter un ancien plugin en créant son fichier « paquet.xml ».
Tous mes plugins fonctionnent donc. Par contre je n’ai pas pu aller plus avant faute de temps pour tester.
Je rappelle que je suis en local sous MAMP.
Bonne journée et merci
18 décembre 2021, 11:25, par jfd
Bonjour,
J’ai vu passer de nombreux tickets avec des mentions style « reporté en 3.2 ». Et là aucune info.
Doit on comprendre que, finalement, il n’y a que la correction de la faille qui a été mise dans cette version 3.2.12 ?
Clt
20 décembre 2021, 14:34, par Marcimat
En fait il y a eu aussi quelques correctifs (reports) de bugs sur la 3.2, on ne l’a pas mentionné effectivement. https://git.spip.net/spip/spip/src/branch/3.2/CHANGELOG.TXT
20 décembre 2021, 20:59, par jfd
@Marcimat
Ouf, les devs n’auront donc pas travaillé pour des prunes :-)
Merci pour l’info
Clt
21 décembre 2021, 22:31, par Bibliosurf
Je me demande si il n’y a pas encore un problème avec le cache. Avant sur Bibliosurf le cache était de 100mo. Aujourd’hui, il plafonné de 8mo.
22 décembre 2021, 21:58, par touti
Bonsoir,
et donc pas un seul joyeux encouragement dans tous ces messages ? rooo
je répare de suite ce manque !
Merci à vous tout·es pour ce suivi et ces améliorations constantes,
SPIP c’est toujours aussi bien, et ça ne cesse d’être mieux, bravo à vous !
27 décembre 2021, 17:31, par Didier
Je me réponds. Je croyais que spip_loader allait m’installer par défaut la dernière version, à savoir la 4.0.1 or le squelette que j’utilise, HTML5UP Massively, n’est pas encore compatible avec cette version. En fait spip_loader détecte la famille de version installée et me propose par défaut la version 3.1.12, un menu déroulant permet si on le veut de passer en 4.0.1. C’est donc très bien fait. Un grand merci à tous ceux qui y travaillent
19 septembre 2022, 16:14, par Arnaud
Les variantes de squelettes ne fonctionnent plus type rubrique=1.html depuis la dernière version