Accueil > Release > Mise à jour critique de sécurité :  sorties de SPIP 4.0.4 et SPIP  (...)

Mise à jour critique de sécurité :  sorties de SPIP 4.0.4 et SPIP 3.2.13

mercredi 2 février 2022, par La team

Suite au signalement d’une faille critique de sécurité, nous publions une version 4.0.4 ainsi qu’une version 3.2.13 de maintenance.

SPIP 4.0.4

Cette version SPIP 4.0.4 corrige une faille critique qui permettait une exécution arbitraire de code PHP. Merci à g0uZ pour le signalement :)

Autres corrections

  • ne pas pouvoir modifier son login en tant que rédacteur (g0uZ)
  • bien appliquer des header silencieux (qui n’indiquent pas la version de SPIP) quand la configuration le demande (notons que ça n’empêche pas de pouvoir déterminer par d’autres procédés la version de SPIP utilisée)

L’écran de sécurité ne couvre pas cette faille, il est donc indispensable de mettre à jour.

SPIP 3.2.13

Les versions antérieures de la branche 3.2 ne sont pas affectées par la faille signalée. Cependant, nous publions la version 3.2.13 qui corrige les autres points, ainsi que certains bugs :

  • ne pas pouvoir modifier le login en tant que rédacteur (g0uZ)
  • bien appliquer des header silencieux (qui n’indiquent pas la version de SPIP) quand la configuration le demande
  • rétablir le traitement _TRAITEMENT_TYPO_SANS_NUMERO (multi, supprimer_numero, etc) sur la balise #NOM des auteurs
  • prise en charge des fichier .jpeg lors de l’ajout d’un document distant

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 5.0.1).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi Compatibilité PHP
SPIP 4.0 SPIP 4.0.4 Branche stable PHP 7.3 à PHP 8.0
SPIP 3.2 SPIP 3.2.13 Branche stable PHP 5.4 à PHP 7.4

Les versions SPIP 3.1 et antérieures ne sont plus maintenues.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net

Vous pouvez aussi poster un message et échanger sur :

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net


  • La version SPIP 4.0.3 prévue hier était incomplète. D’où le passage directement à SPIP 4.0.4
  • Notre outil de release a évolué pour nous simplifier grandement la tache. Il n’y aura plus de tag spip/x.y.z sur les plugins-dist. Par contre, le fichier plugins-dist.json intègre le tag de version du plugin à utiliser. Si vous utilisiez spip-cli ou checkout, ils doivent être mis à jour pour en tenir compte.

Messages

  • La version 4.0.4 qui sort le 2022.02.02, c’est la grande classe :)
    merci la team !

  • Mise à jour Plugins ?

    Bonjour,

    Je suis en SPIP 4.04 quand je fais la mise à jour des plugins j’ai ce message :

    Warning : A non-numeric value encountered in**/homepages/10/d349342644/htdocs/spip/plugins-dist/archiviste/inc/pclzip.php** on line1861

    Cela n’empêche pas la mise à jour, savoir ce que je peu faire pour enlever ce message d’erreur ?

    Merci pour votre aide

    Cordialement

    Gilles Caffiaux https://cgsebdeb.fr/

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.