SPIP Blog
Mise à jour de maintenance et sécurité : sortie de SPIP 4.2.8, SPIP 4.1.14SPIP version 4.2.8
La version 4.2.8 améliore un petit point de sécurité sur le nom des fichiers uploadés à l’aide de bigup afin d’éviter une faille de type XSS.
Elle apporte les améliorations ou corrections de bugs suivantes :
- HTML valide pour le formulaire
configurer_redacteurs - bigup
- éviter une XSS basée sur le nom des fichiers uploadés
- ajout d’une vue de la saisie, pour utilisation en saisie PHP avec le plugin
- utiliser des
buttonau lieu despandans le formulaire d’upload
- forum
- ne pas appliquer l’effet sticky du bloc d’actions en masse de la page
controler_forumsur petit écran
- ne pas appliquer l’effet sticky du bloc d’actions en masse de la page
- medias
- option
masquerpour masquer en tout ou partie la légende. Valeurs possibles (séparées par une virgule) :legende,titre,descriptif,credits - ajout d’un génie pour supprimer les fichiers trop vieux du répertoire
tmp/upload - petit ajout afin d’activer un diaporama sur la modale des images dans la médiathèque
- réparer la fonction Joindre un fichier Zip depuis
tmp/upload - rétablir la suppression du numéro sur le titre dans la légende des documents
- bien prendre en compte les éventuelles largeur & hauteur passées au modèle lors de l’insertion d’une image SVG
- option
- sites
- lever l’ambiguïté sur les balises simples des
url() - accepter le format SVG pour la récupération automagique du logo d’un site syndiqué
- lever l’ambiguïté sur les balises simples des
- statistiques
- limiter la hauteur du graphique de statistiques
SPIP version 4.1.14
La version 4.1.14 intègre uniquement le correctif de sécurité sur le nom des fichiers uploadés à l’aide de bigup.
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.2.1).
spip_loader est distribué à l’adresse suivante : https://get.spip.net/
Le fichier spip_loader.php est un script compilé dans le format binaire
phar.
Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).
Résumé des versions de SPIP
| Branche | Version | Suivi | Compatibilité PHP |
|---|---|---|---|
| SPIP 4.2 | SPIP 4.2.8 | Maintenance active | PHP 7.4 à PHP 8.2 |
| SPIP 4.1 | SPIP 4.1.14 | Correctifs de sécurité seulement | PHP 7.4 à PHP 8.1 |
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13
Bien sûr, les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord.
Vous pouvez aussi poster un message et échanger sur :
- La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
- La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net.
Messages
12 janvier 2024, 08:53
Bonjour,
Merci pour ces mises à jour.
J’ai un problème lors du passage en 4.1.14.
Les menus ne l’espace privé ne s’affichent plus au survol et la console affiche :
Sur le même serveur, le passage en 4.2.8 ne présente pas cette même erreur.
Une idée du problème ?
12 janvier 2024, 11:17, par b_b
Oui, on en cause ici https://discuter.spip.net/t/mise-a-jour-de-maintenance-et-securite-sortie-de-spip-4-2-8-spip-4-1-14/174501/2 une 4.1.15 arrive dans la matinée :)
12 janvier 2024, 12:04, par erational
la version SPIP 4.1.15 est sortie : https://blog.spip.net/889