SPIP version 4.2.7
La version 4.2.7 améliore un petit point de sécurité sur l’utilisation des modèles afin d’éviter une faille de type XSS.
Elle apporte les améliorations ou corrections de bugs suivantes :
- éviter une XSS via l’appel de certains modèles
- si le texte est sécurisé pour cause de HTML suspect, ne pas perdre le contexte des modèles
- éviter des collisions avec les noms de cache des fichiers distants
- traitement identique du paramètre type dans
autoriser_exception
etautoriser
- éviter une boucle infinie dans
recuperer_url()
avec certaines configurations serveur - éviter une erreur fatale en PHP 8.2 sur
objet_inserer
etarticle_inserer
sans être authentifié. - ne pas avoir un bouton « annuler le job » qui ressemble à un bouton « fermer la notification » + une classe en trop
- installation : corriger la création du webmestre depuis une vieille base.
- formulaire multi-étapes : si tout est bien passé, recommencer à zéro et pas à la dernière étape
- éviter un warning si
spip_getimagesize()
est appelée sur un fichier non présent - éviter un warning avec
var_profile=1
- pipelines
pre_edition
etpost_edition
: lors d’institution, transmettre aussi les infosobjet
,table_objet
,spip_table_objet
. - amélioration de la présentation des boutons de gestion du logo
- aide
- balise (interne)
<aide:code>
pour faciliter la rédaction de l’aide - réécriture de l’aide (fr) avec quelques simplifications
- mentionner l’écriture des blocs de code à base de backticks
- balise (interne)
- medias
- accolade manquante dans
modeles/file.html
- prise en compte du nombre de pagination choisie dans la popin de médiathèque.
- accessibilité et UX des boutons de gestion des documents
- HTML mal formé sur
modeles/document_desc.html
- accolade manquante dans
- svp
- conserver le filtrage JS de la liste des plugins si on demande le détail d’un plugin
- textwheel
- les blocs de code peuvent utiliser plus de 3 backticks
- l’info de langage des blocs de code de 3 ou + backticks peut contenir des espaces
- attribut
role="list"
sur les<ul>
- squelettes-dist
- corriger les tailles de typo sur les
label
et leslegend
- corriger les tailles de typo sur les
SPIP version 4.1.13
La version 4.1.13 intègre uniquement le correctif de sécurité sur l’utilisation des modèles.
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 6.1.3).
Le spip_loader est maintenant distribué à l’adresse suivante :
https://get.spip.net/
Le fichier spip_loader.php
est un script compilé dans un format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).
Résumé des versions de SPIP
Branche | Version | Suivi | Compatibilité PHP |
---|---|---|---|
SPIP 4.2 | SPIP 4.2.7 | Maintenance active | PHP 7.4 à PHP 8.2 |
SPIP 4.1 | SPIP 4.1.13 | Correctifs de sécurité seulement | PHP 7.4 à PHP 8.1 |
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13
Bien sûr, les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- X : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net
Vous pouvez aussi poster un message et échanger sur :
- La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
- La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net.
Messages
18 décembre 2023, 14:22, par Mathieu
Merci bcp pour ces corrections !
18 décembre 2023, 16:37, par le rateau de la méduse
Un grand merci les loulous :)
19 décembre 2023, 15:24, par Patrick
Merci beaucoup pour ces mises à jour.
La dernière a corrigé une erreur de présentation des légendes de photswipe qui a disparue après la mise à jour.
Auparavant un message d’erreur mediabox était signalé en partie privée, je ne m’en étais pas aperçu.
Merci
19 décembre 2023, 17:59, par Gabriel
Merci pour cette màj !
22 décembre 2023, 08:19, par Kamran
Can you look at this too ? https://git.spip.net/spip/spip/issu...