Accueil > Release > Mise à jour de sécurité : sortie de SPIP 4.3.6, SPIP 4.2.17, SPIP 4.1.20

Mise à jour de sécurité : sortie de SPIP 4.3.6, SPIP 4.2.17, SPIP 4.1.20

jeudi 16 janvier 2025, par L’équipe maintenance

Suite au signalement de deux petites failles de sécurité, nous publions les versions SPIP 4.3.6, SPIP 4.2.17, SPIP 4.1.20. Un grand merci à Glop, Tom et Mika pour les signalements.

Ces versions corrigent deux petites failles (une XSS et une possibilité de dévoilement de contenu dans l’espace privé) sur les branches 4.3, 4.2 et 4.1 de SPIP.

Encore une fois, merci à Glop, Tom et Mika pour les signalements.

La faille XSS est prise en charge par l’écran de sécurité, mais pas celle concernant le dévoilement de contenu. Voir la documentation sur spip.net.

Pour information, ces versions sont normalement les dernières pour les branches 4.2 et 4.1 dont la fin de support est prévue pour le 23 janvier 2025.

Si vous vous demandez pourquoi on est passé de la 4.1.18 à la 4.1.20, c’est tout simplement parce qu’on a découvert et corrigé un petit bug dans la génération de l’archive juste avant la release :p

En plus des corrections des failles de sécurité, la version 4.3.6 apporte les améliorations ou corrections de bugs suivantes.

SPIP 4.3.6

  • Sécurité
    • Mise à jour de l’écran de sécurité en version 1.6.4
    • Sécuriser le contenu du message d’erreur affiché par l’API transmettre
    • Bien tester les autorisations d’afficher le contenu des articles/rubriques dans les fragments chargés en ajax
  • Changements
    • Compatibilité avec PHP 8.4
  • Corrections
    • Rédaction de tableaux : Ignorer ^ sur le première ligne afin d’éviter une variable indéfinie
    • Import d’image : ne pas analyser une image Avif comme étant du SVG

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.1.8).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Branche Version Suivi Compatibilité PHP
SPIP 4.3 4.3.6 Maintenance active PHP 7.4 à PHP 8.4
SPIP 4.2 4.2.17 Correctifs de sécurité PHP 7.4 à PHP 8.3
SPIP 4.1 4.1.20 Correctifs de sécurité PHP 7.4 à PHP 8.1

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord.

Vous pouvez aussi poster un message et échanger sur :

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net.

Messages

  • Merci pour cette release et à tous ceux qui continuent à construire spip :)

  • @Théo, tu peux dire toutes celles et ceux, ou simplement toutes les personnes car il n’y a pas que des hommes dans la communauté :)

  • Merci pour cette màj.

  • Bonjour, je me trompe où la version n’est pas téléchargeable sur le site ? le lien pour le ZIP n’est pas valide. ?
    Merci

  • > Bonjour, je me trompe où la version n’est pas téléchargeable sur le site ? le lien pour le ZIP n’est pas valide. ?

    Je viens de tester le lien des trois zips, ça fonctionne chez moi, tu as un problème avec lequel ?

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.