Ces versions corrigent deux petites failles (une XSS et une possibilité de dévoilement de contenu dans l’espace privé) sur les branches 4.3, 4.2 et 4.1 de SPIP.
Encore une fois, merci à Glop, Tom et Mika pour les signalements.
La faille XSS est prise en charge par l’écran de sécurité, mais pas celle concernant le dévoilement de contenu. Voir la documentation sur spip.net.
Pour information, ces versions sont normalement les dernières pour les branches 4.2 et 4.1 dont la fin de support est prévue pour le 23 janvier 2025.
Si vous vous demandez pourquoi on est passé de la 4.1.18 à la 4.1.20, c’est tout simplement parce qu’on a découvert et corrigé un petit bug dans la génération de l’archive juste avant la release :p
En plus des corrections des failles de sécurité, la version 4.3.6 apporte les améliorations ou corrections de bugs suivantes.
SPIP 4.3.6
- Sécurité
- Mise à jour de l’écran de sécurité en version 1.6.4
- Sécuriser le contenu du message d’erreur affiché par l’API transmettre
- Bien tester les autorisations d’afficher le contenu des articles/rubriques dans les fragments chargés en ajax
- Changements
- Compatibilité avec PHP 8.4
- Corrections
- Rédaction de tableaux : Ignorer
^
sur le première ligne afin d’éviter une variable indéfinie - Import d’image : ne pas analyser une image Avif comme étant du SVG
- Rédaction de tableaux : Ignorer
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.1.8).
spip_loader est distribué à l’adresse suivante : https://get.spip.net/
Le fichier spip_loader.php
est un script compilé dans le format binaire
phar.
Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).
Résumé des versions de SPIP
Branche | Version | Suivi | Compatibilité PHP |
---|---|---|---|
SPIP 4.3 | 4.3.6 | Maintenance active | PHP 7.4 à PHP 8.4 |
SPIP 4.2 | 4.2.17 | Correctifs de sécurité | PHP 7.4 à PHP 8.3 |
SPIP 4.1 | 4.1.20 | Correctifs de sécurité | PHP 7.4 à PHP 8.1 |
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13
Bien sûr, les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord.
Vous pouvez aussi poster un message et échanger sur :
- La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
- La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net.
Messages
17 janvier, 10:12, par Théo
Merci pour cette release et à tous ceux qui continuent à construire spip :)
17 janvier, 10:14, par b_b
@Théo, tu peux dire toutes celles et ceux, ou simplement toutes les personnes car il n’y a pas que des hommes dans la communauté :)
20 janvier, 13:01, par Gabriel
Merci pour cette màj.
23 janvier, 20:57, par Geraud
Bonjour, je me trompe où la version n’est pas téléchargeable sur le site ? le lien pour le ZIP n’est pas valide. ?
Merci
24 janvier, 10:40, par b_b
> Bonjour, je me trompe où la version n’est pas téléchargeable sur le site ? le lien pour le ZIP n’est pas valide. ?
Je viens de tester le lien des trois zips, ça fonctionne chez moi, tu as un problème avec lequel ?