Suite au signalement de plusieurs failles critiques de sécurité, nous publions les version 4.1.5, 4.0.8 et 3.2.16. Un grand merci à SpawnZii, Abyss Wacther & Sapperlotti pour ces signalements.
Ces versions corrigent des failles critiques dont une pouvait permettre de l’exécution de code (RCE) depuis l’espace public dans certains contextes de saisie utilisateur, et d’autres utilisant des XSS entre auteurs depuis l’espace d’administration pouvant permettre de réaliser une promotion de privilège (...)
Articles les plus récents
-
Mise à jour critique de sécurité : sortie de SPIP 4.1.5, SPIP 4.0.8 et SPIP 3.2.16
21 juillet, par La team -
Mise à jour de maintenance et sécurité : sortie de SPIP 4.1.2, SPIP 4.0.7 & SPIP 3.2.15
20 mai, par La teamCes nouvelles versions corrigent plusieurs petites failles de sécurité (de type XSS pour la plupart) ainsi que quelques bugs. Corrections principales apportées par SPIP 4.1.2 corrections de différentes failles de sécurités permettre de spécifier l’engine mysql à utiliser à l’aide d’une constante (par défaut MyISAM, et InnoDB via define(’_MYSQL_ENGINE’, ’InnoDB’) ; dans config/mes_options.php). accélération de la migration des logos en documents lors de la mise à jour vers SPIP 4 correction d’une erreur (...)
-
Mise à jour de maintenance : sortie de SPIP 4.1.1 & SPIP 4.0.6
1er avril, par La teamSuite à la sortie de SPIP 4.1.0, nous avons corrigé quelques petits bugs qui nous ont été remontés dans la semaine, et ça n’est pas une blague de 1er avril ;)
La version 4.0.6 profite aussi de quelques corrections reportées depuis la branche 4.1. Corrections principales apportées par SPIP 4.1.1 correction d’un bug dans le téléchargement des plugins chez certains hébergeurs (Infomaniak par exemple) mise à jour du htaccess afin de renvoyer une erreur 404 lors des tentatives d’accès aux fichiers cachés (...) -
Sortie de SPIP 4.1.0, parce que PHP 8.1 le vaut bien ^^
25 mars, par La teamAvec le printemps, les oiseaux nous annoncent la sortie de SPIP 4.1, plus sûr, plus moderne... plus bien quoi :) SPIP 4.1 en résumé un SPIP plus sûr avec une refonte du système d’authentification et de chiffrement un SPIP compatible avec les versions récentes de PHP 8.0 et PHP 8.1 (les extensions suivantes sont désormais obligatoires : sodium, Zlib, Zip et Phar) un SPIP avec des bibliothèques sous-jacentes (JS et PHP) mises à jour un plugin Archiviste réécrit une nouvelle API de création et de décodage (...)
-
Sortie de SPIP 4.1.0-rc
5 mars, par La teamSPIP 4.1.0-rc sifflote ! Cette version de SPIP à tester, est compatible de PHP 7.4 à PHP 8.1.
Qu’y a-t-il de nouveau depuis SPIP 4.0 ?
Voir les articles 4.1.0-alpha et 4.1.0-beta.
Particulièrement, cette version de SPIP est compatible de PHP 7.4 à 8.1. Le support de PHP 7.3 est abandonné.
Et ce n’est pas tout !
Qu’y a-t-il de nouveau depuis la beta ?
Un changement important : une refonte des authentifications (logins et actions) et du stockage des mots de passes en base de données. Cela a permis de (...) -
Mise à jour critique de sécurité : sorties de SPIP 4.0.5 et SPIP 3.2.14
5 mars, par La teamSuite au signalement d’une faille critique de sécurité, nous publions une version 4.0.5 ainsi qu’une version 3.2.14. SPIP 4.0.5
Cette version SPIP 4.0.5 corrige une faille critique qui permettait une exécution arbitraire de code PHP (avec un accès rédacteur au site). Merci à g0uZ pour le signalement :) une faille permettant un accès non authentifié et non autorisé à des informations des objets éditoriaux. Merci à g0uZ de nouveau.
L’écran de sécurité ne couvre pas ces failles, il est donc indispensable (...) -
Sortie de SPIP 4.1.0-beta
18 février, par La teamSPIP 4.1.0-beta pointe son museau plein de tendresse ! Cette version de SPIP à tester est compatible de PHP 7.4 à PHP 8.1.
Qu’y a-t-il de nouveau depuis SPIP 4.0 ?
Voir l’article à propos 4.1.0-alpha.
Particulièrement, cette version de SPIP est compatible de PHP 7.4 à 8.1. Le support de PHP 7.3 est abandonné.
Qu’y a-t-il de nouveau depuis l’alpha ?
Dans SPIP : Les traductions ont été mises à jour Les fichiers de langue peuvent retourner directement un tableau (return [ ’cle’ => ’texte’, ...] ;) (...) -
Sortie de SPIP 4.1.0-alpha
9 février, par La teamSPIP 4.1.0-alpha sort d’hibernation ! Cette version à tester apporte un SPIP compatible avec PHP 8.1.
Qu’y a-t-il de nouveau dans cette version ? Un SPIP compatible de PHP 7.4 à 8.1 Un SPIP avec des bibliothèques sous-jacentes (JS et PHP) mises à jour Un plugin Archiviste réécrit (Les extensions PHP suivantes sont désormais obligatoires : zip, zlib et Phar) Les rubriques (dans l’espace privé) affichent les articles refusés La configuration de Bigup (taille des fichiers téléversés) est affichée sur la (...) -
Mise à jour critique de sécurité : sorties de SPIP 4.0.4 et SPIP 3.2.13
2 février, par La teamSuite au signalement d’une faille critique de sécurité, nous publions une version 4.0.4 ainsi qu’une version 3.2.13 de maintenance. SPIP 4.0.4
Cette version SPIP 4.0.4 corrige une faille critique qui permettait une exécution arbitraire de code PHP. Merci à g0uZ pour le signalement :)
Autres corrections ne pas pouvoir modifier son login en tant que rédacteur (g0uZ) bien appliquer des header silencieux (qui n’indiquent pas la version de SPIP) quand la configuration le demande (notons que ça (...) -
Mise à jour de maintenance : sortie de SPIP 4.0.2
25 janvier, par La teamEn ce tout début d’année, nous vous présentons SPIP 4.0.2, une nouvelle version de maintenance.
Cette version corrige différents petits bugs signalés.
Par ailleurs, nous sommes sur le point de proposer en test une version 4.1.0-alpha compatible PHP 8.1. Lire sur Discuter une proposition de Roadmap. Corrections principales apportées par SPIP 4.0.2 rétablir le traitement _TRAITEMENT_TYPO_SANS_NUMERO (multi, supprimer_numero, etc) sur la balise #NOM des auteurs prise en charge des fichier .jpeg lors (...)