Accueil > Release > Mise à jour de maintenance et sécurité : sortie de SPIP 4.2.3, SPIP 4.1.10

Mise à jour de maintenance et sécurité : sortie de SPIP 4.2.3, SPIP 4.1.10

mercredi 7 juin 2023, par La team

Ces nouvelles versions améliorent la sécurité et corrigent certains bugs.

Cette release corrige plusieurs bugs dont un bug de sécurité sur le fichier .htaccess.
Nous vous rappelons qu’à chaque mise à jour de SPIP, il convient de le mettre à jour en renommant le htaccess.txt en .htaccess.

La version 4.2.3 améliore certains points de sécurité :

  • bloquer correctement les fichiers cachés dans le htaccess livré par défaut
  • éviter l’usage de unserialize dans l’écran de sécurité
  • limiter la profondeur de récursion de la fonction protege_champ()
  • inclure l’écran de sécurité avant l’autoloader
  • limiter l’usage de #ENV** dans les formulaires.

Elle apporte aussi les nouveautés ou corrections de bugs suivantes :

  • appliquer l’option httponly sur la plupart des cookies internes à SPIP
  • appliquer l’option secure sur les cookies lorsqu’on est en HTTPS
  • attributs data-objet, data-id_objet et data-objet-source sur le formulaire d’édition de liens, pour usage en JS à toutes fins utiles
  • log des dépréciations, via la fonction trigger_deprecation (de symfony/deprecations-contracts).
  • permettre de fournir le nom de l’attachement à spip_livrer_fichier()- Mise à jour de Sortable.js (1.14.0 => 1.15.0)
  • refacto page de contrôle et boîtes des tâches de fond- Erreur Fatale en PHP 8.2 (Operand type) sur plugins_afficher_nom_plugin_dist()
  • calcul d’URL de generer_url_api sans précision du paramètre public
  • déclaration propre du pipeline notifications_destinataires
  • éviter un Deprecated sur la fonction d’import CSV
  • filtre couper erroné dans certains cas avec des caractères utf8 multi bytes
  • formulaire de configuration du multilinguisme
  • présentation de l’input de recherche dans l’ajout d’auteurs liés
  • recherche et navigation dans le sélecteur de rubriques dépliant
  • typage en entrée de certains paramètres des fonctions generer_* lorsque l’objet n’existe pas
  • retrouver correctement les anciens itérateurs
  • indiquer la bonne fonction dans le message d’erreur de _imagecreatefrom_func
  • animation plus douce des formulaires resoumis hors ajax
  • notices PHP en moins sur la page de contrôle des tâches de fond
  • correction d’erreurs des traitements d’image si la balise img n’a pas d’attribut src
  • correction des filtres de date lorsque l’entrée ne précise pas le jour tel qu’avec 2023-03
  • archiviste :
    • Spip\Archiver\ArchiverInterface::emballer() accepte comme premier paramètre, soit une liste de fichiers, soit un tableau associatif du type ['source' => 'destination'], auquel cas le second paramètre n’est pas pris en compte
    • gestion des retours des méthodes SpipArchiver::commenter et SpipArchiver::retirer
  • bigup :
    • mise à jour des chaînes de langues depuis trad.spip.net
    • corrige récupération des exifs à la compression/retaillage d’une image
    • on réintègre les EXIF dans l’image après la compression en javascript
    • corriger un bug d’upload lors de l’utilisation d’un NFS
  • compagnon :
    • un message d’accueil affiche correctement le nom du site s’il contient une balise multi
  • mediabox :
    • mode d’affichage « sidebar » via l’attribut data-box-sidebar
    • ajouter des classes arbitraires au conteneur général via l’attribut data-box-class
    • support des images webp
  • medias :
    • utiliser spip_livrer_fichier() pour envoyer les fichiers (refactor)
  • porte plume :
    • mise à jour des chaînes de langues depuis trad.spip.net
    • bouton retour sur les articles avec un titre vide
    • bouton retour sur les documents
    • bien charger les autorisations voirrevisions et revisions_menu
  • statistiques :
    • mise à jour des chaînes de langues depuis trad.spip.net
    • réparer le fonctionnement avec le plugin statistiques_objets
    • afficher les articles dont le titre est vide
  • svp :
    • couleur de la barre de progression sous webkit
    • aligner l’affichage de la liste des plugins de exec=admin_plugin sur celle de exec=charger_plugin
    • la migration de base depuis 0.4.0 générait des erreurs par absence du champ ’procure’
  • textwheel :
    • pipelines pre_echappe_html_propre_args et post_echappe_html_propre_args
    • 0 et ’0’ sont des textes à traiter aussi
  • urls étendues :
    • permettre de sélectionner le texte de l’url des objets

La version 4.1.10 améliore certains points de sécurité :

  • bloquer correctement les fichiers cachés dans le htaccess livré par défaut
  • éviter l’usage de unserialize dans l’écran de sécurité
  • limiter la profondeur de récursion de la fonction protege_champ()

Elle apporte aussi les nouveautés ou corrections de bugs suivantes :

  • éviter un deprecated sur le filtre |replace
  • typage en entrée de certains paramètres des fonctions generer_* lorsque l’objet n’existe pas.
  • correction d’erreurs des traitements d’image si la balise img n’a pas d’attribut src
  • correction des filtres de date lorsque l’entrée ne précise pas le jour tel qu’avec 2023-03
  • aligner le comportement du filtre |image_reduire sur celui de GD quand on utilse convert
  • bigup :
    • corriger un bug d’upload lors de l’utilisation d’un NFS
  • mediabox :
    • support des images webp
  • révisions :
    • bien charger les autorisations voirrevisions et revisions_menu
  • statistiques :
    • réparer le fonctionnement avec le plugin statistiques_objets

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 6.1.1)

Le spip_loader est maintenant distribué à l’adresse suivante :
https://get.spip.net/

Le spip_loader.php est un format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Branche Version Suivi Compatibilité PHP
SPIP 4.2 SPIP 4.2.3 Branche stable PHP 7.4 à PHP 8.2
SPIP 4.1 SPIP 4.1.10 Branche stable PHP 7.4 à PHP 8.1

Les versions SPIP 4.0 et antérieures ne sont plus maintenues.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net

Vous pouvez aussi poster un message et échanger sur :

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net.

Messages

  • Merci la team pour l’énorme travail que vous faites.

  • THX les gurus ;)

  • Bonjour,

    Est-ce qu’il est possible de rajouter cette info :

    Cette release corrige plusieurs bugs dont un bug de sécurité sur le fichier .htaccess.
    Nous vous rappelons qu’à chaque mise à jour de SPIP, il convient de le mettre à jour en renommant le htaccess.txt en .htaccess.

    dans la documentation officielle de la mise à jour ici : https://www.spip.net/fr_article1318.html ?

    Idéalement ce serait bien que spip_loader mentionne la nécessité de cette étape manuelle une fois que le reste a été fait. Perso j’avais toujours mon .htaccess de la 4.1... :-(

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Dans la même rubrique

2005 - 2024 SPIP Blog
Plan du site | | Contact | RSS 2.0

SPIP