Des failles de sécurité nous ont été signalées sur la branche 3.2, elles permettent à des auteurs identifiés d’exécuter du code PHP arbitraire. La version SPIP 3.2.8 corrige ces failles.
Nous sortons aussi une version SPIP 3.1.13 SPIP 3.1.14 qui corrige des failles de sécurité pour la branche 3.1.
Il est impératif de mettre à jour votre site SPIP dès que possible.
Attention : si vous êtes est sous SVN : le dépot SVN n’est plus mis à jour. Il faut donc passer sous Git (voir plus bas).
L’équipe remercie Laluka (JACQUES-CHEVALLIER Louka) pour l’identification et le signalement des failles.
Il n’a pas été possible de corriger ces failles dans l’écran de sécurité, nous vous conseillons donc de mettre à jour vers SPIP 3.2.8.
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 4.2.0).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Résumé des versions de SPIP
Branche | Version | Suivi |
---|---|---|
SPIP 3.2 | SPIP 3.2.8 | Branche stable |
SPIP 3.1 | SPIP 3.1.14 | Branche maintenue |
Les versions SPIP 3.0, 2.1 et antérieures ne sont plus maintenues.
Même si elles ne sont pas impactées par cette faille, il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Nouvelles de la communauté
Cette sortie de SPIP 3.2.8 est le fruit de notre nouvel espace de développement entièrement passé sous Git. Ce chantier a été mené pour toute la communauté (core + plugins) et a entrainé la création de nouveaux outils (checkout, débardeur, gitea_mirror, ...) qui se trouvent sur la nouvelle forge https://git.spip.net/
Concernant le passage sous Git plusieurs ressources sont disponibles :
- nous vous conseillons la lecture de https://blog.smellup.net/spip.php?rubrique46 si vous souhaitez comprendre un peu mieux Git.
- un outil d’installation de SPIP en ligne de commande est mis à disposition sur https://git.spip.net/spip-contrib-outils/checkout (avec sa documentation et des exemples). Note : l’outil d’installation de spip-cli prend en charge l’installation en Git.
- une « FAQ pratique : Comment SPIPer avec git.spip.net » est disponible sur : https://contrib.spip.net/FAQ_pratique_SPIP_avec_GIT
Si vous êtes un peu perdu⋅e il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur la liste spip-dev https://listes.rezo.net/mailman/listinfo/spip-dev
De plus, afin de simplifier les échanges, nous avons fusionné les listes de discussion spip-zone et spip-dev au profit de cette dernière.
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net
Messages
30 septembre 2020, 16:02, par Marcimat
Note : la structure des zips à changé :
2 octobre 2020, 13:39, par jfd
Je n’avais pas lu, mais je n’ai rien vu de différent, la décompression se fait bien proprement dans un dossier au nom de l’archive. Peut-être parce que je suis sous un autre système que le votre ?
Par ailleurs, le fichier svn.revision n’existe évidemment plus. C’était rapide et pratique pour tout savoir sur la build. Il n’y a pas la même chose sous git ?
Bonne journée
2 octobre 2020, 13:47, par b_b
Salut,
> Par ailleurs, le fichier svn.revision n’existe évidemment plus. C’était rapide et pratique pour tout savoir sur la build. Il n’y a pas la même chose sous git ?
Non, ça n’existe pas par défaut, et ça nous demanderait d’en générer un de notre côté, alors que le fichier CHANGELOG.TXT à la racine contient déjà tout ce qu’il faut :)
2 octobre 2020, 21:40, par jfd
... Tout sauf les infos de ce fichier :-))
Après, c’est pas la peine de s’emmouscailler pour des infos que personne ne doit utiliser à part des mecs un peu bordéliques comme moi.
Bonne soirée
5 octobre 2020, 11:44, par Nicolas
bonjour je vous signale un petit bug relevé sur la branche SPIP 3.2.8 [24473]
Après la mise à jour via le loader, dans l’espace privé , un array est affiché en haut à gauche.
ce dernier est présent partout sauf sur la page d’admin des plugins.
5 octobre 2020, 14:25, par Maïeul
@nicolas : je n’ai pas ce array. Tu aurais pas un plugin qui causera cela par inadevertance.
Peux tu faire une capture d’écran ?
5 octobre 2020, 15:07, par Cédric
@Nicolas @Maieul : il suffit de faire un
?var_mode=recalcul
dans l’espace privé pour résoudre ceArray
5 octobre 2020, 19:45, par Bob
Merci pour cette release !
5 novembre 2020, 10:18, par Cédric
Mise à jour bien effectué sur le domaine free.fr.
Merci à toute l’équipe de Spip