Cette release corrige plusieurs bugs dont un bug de sécurité sur le fichier .htaccess
.
Nous vous rappelons qu’à chaque mise à jour de SPIP, il convient de le mettre à jour en renommant le htaccess.txt
en .htaccess
.
La version 4.2.3 améliore certains points de sécurité :
- bloquer correctement les fichiers cachés dans le htaccess livré par défaut
- éviter l’usage de
unserialize
dans l’écran de sécurité - limiter la profondeur de récursion de la fonction
protege_champ()
- inclure l’écran de sécurité avant l’autoloader
- limiter l’usage de
#ENV**
dans les formulaires.
Elle apporte aussi les nouveautés ou corrections de bugs suivantes :
- appliquer l’option
httponly
sur la plupart des cookies internes à SPIP - appliquer l’option
secure
sur les cookies lorsqu’on est en HTTPS - attributs
data-objet
,data-id_objet
etdata-objet-source
sur le formulaire d’édition de liens, pour usage en JS à toutes fins utiles - log des dépréciations, via la fonction
trigger_deprecation
(de symfony/deprecations-contracts). - permettre de fournir le nom de l’attachement à
spip_livrer_fichier()
- Mise à jour de Sortable.js (1.14.0 => 1.15.0) - refacto page de contrôle et boîtes des tâches de fond- Erreur Fatale en PHP 8.2 (Operand type) sur
plugins_afficher_nom_plugin_dist()
- calcul d’URL de
generer_url_api
sans précision du paramètrepublic
- déclaration propre du pipeline notifications_destinataires
- éviter un Deprecated sur la fonction d’import CSV
- filtre
couper
erroné dans certains cas avec des caractères utf8 multi bytes - formulaire de configuration du multilinguisme
- présentation de l’input de recherche dans l’ajout d’auteurs liés
- recherche et navigation dans le sélecteur de rubriques dépliant
- typage en entrée de certains paramètres des fonctions
generer_*
lorsque l’objet n’existe pas - retrouver correctement les anciens itérateurs
- indiquer la bonne fonction dans le message d’erreur de
_imagecreatefrom_func
- animation plus douce des formulaires resoumis hors ajax
- notices PHP en moins sur la page de contrôle des tâches de fond
- correction d’erreurs des traitements d’image si la balise
img
n’a pas d’attributsrc
- correction des filtres de date lorsque l’entrée ne précise pas le jour tel qu’avec
2023-03
- archiviste :
-
Spip\Archiver\ArchiverInterface::emballer()
accepte comme premier paramètre, soit une liste de fichiers, soit un tableau associatif du type['source' => 'destination']
, auquel cas le second paramètre n’est pas pris en compte - gestion des retours des méthodes
SpipArchiver::commenter
etSpipArchiver::retirer
-
- bigup :
- mise à jour des chaînes de langues depuis trad.spip.net
- corrige récupération des exifs à la compression/retaillage d’une image
- on réintègre les EXIF dans l’image après la compression en javascript
- corriger un bug d’upload lors de l’utilisation d’un NFS
- compagnon :
- un message d’accueil affiche correctement le nom du site s’il contient une balise multi
- mediabox :
- mode d’affichage « sidebar » via l’attribut
data-box-sidebar
- ajouter des classes arbitraires au conteneur général via l’attribut
data-box-class
- support des images webp
- mode d’affichage « sidebar » via l’attribut
- medias :
- utiliser
spip_livrer_fichier()
pour envoyer les fichiers (refactor)
- utiliser
- porte plume :
- mise à jour des chaînes de langues depuis trad.spip.net
- bouton retour sur les articles avec un titre vide
- bouton retour sur les documents
- bien charger les autorisations
voirrevisions
etrevisions_menu
- statistiques :
- mise à jour des chaînes de langues depuis trad.spip.net
- réparer le fonctionnement avec le plugin statistiques_objets
- afficher les articles dont le titre est vide
- svp :
- couleur de la barre de progression sous webkit
- aligner l’affichage de la liste des plugins de
exec=admin_plugin
sur celle deexec=charger_plugin
- la migration de base depuis 0.4.0 générait des erreurs par absence du champ ’procure’
- textwheel :
- pipelines
pre_echappe_html_propre_args
etpost_echappe_html_propre_args
- 0 et ’0’ sont des textes à traiter aussi
- pipelines
- urls étendues :
- permettre de sélectionner le texte de l’url des objets
La version 4.1.10 améliore certains points de sécurité :
- bloquer correctement les fichiers cachés dans le htaccess livré par défaut
- éviter l’usage de
unserialize
dans l’écran de sécurité - limiter la profondeur de récursion de la fonction
protege_champ()
Elle apporte aussi les nouveautés ou corrections de bugs suivantes :
- éviter un deprecated sur le filtre
|replace
- typage en entrée de certains paramètres des fonctions
generer_*
lorsque l’objet n’existe pas. - correction d’erreurs des traitements d’image si la balise
img
n’a pas d’attributsrc
- correction des filtres de date lorsque l’entrée ne précise pas le jour tel qu’avec 2023-03
- aligner le comportement du filtre
|image_reduire
sur celui de GD quand on utilse convert - bigup :
- corriger un bug d’upload lors de l’utilisation d’un NFS
- mediabox :
- support des images webp
- révisions :
- bien charger les autorisations
voirrevisions
etrevisions_menu
- bien charger les autorisations
- statistiques :
- réparer le fonctionnement avec le plugin statistiques_objets
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 6.1.1)
Le spip_loader est maintenant distribué à l’adresse suivante :
https://get.spip.net/
Le spip_loader.php
est un format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).
Résumé des versions de SPIP
Branche | Version | Suivi | Compatibilité PHP |
---|---|---|---|
SPIP 4.2 | SPIP 4.2.3 | Branche stable | PHP 7.4 à PHP 8.2 |
SPIP 4.1 | SPIP 4.1.10 | Branche stable | PHP 7.4 à PHP 8.1 |
Les versions SPIP 4.0 et antérieures ne sont plus maintenues.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13
Bien sûr, les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net
Vous pouvez aussi poster un message et échanger sur :
- La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
- La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net.
Messages
7 juin 2023, 14:37, par Said
Merci la team pour l’énorme travail que vous faites.
7 juin 2023, 16:43, par spipfactory
THX les gurus ;)
27 septembre 2023, 11:01, par mt23
Bonjour,
Est-ce qu’il est possible de rajouter cette info :
dans la documentation officielle de la mise à jour ici : https://www.spip.net/fr_article1318.html ?
Idéalement ce serait bien que spip_loader mentionne la nécessité de cette étape manuelle une fois que le reste a été fait. Perso j’avais toujours mon .htaccess de la 4.1... :-(