Mise à jour de sécurité : sortie de SPIP 4.4.14

Cette version corrige deux failles de sécurité :

• une faille de type RCE dans l’espace privé
• une faille de type RCE dans l’espace public, limitée à l’usage de certaines configurations de nginx

Merci encore à Louka Jacques-Chevallier (Laluka), Baptiste Rolando, Arthur Deloffre (Vozec), jvoisin et Cezame pour les signalements.

Ces failles ne sont pas prises en charge par l’écran de sécurité.

La version 4.4.14 apporte les améliorations ou corrections de bugs suivantes :

• Meilleure sanitisation de HTTP_HOST
• Correction de la prise en charge de REMOTE_USER lors de l’utilisation de nginx
• La balise #CHEMIN_IMAGE prend aussi en charge les fichiers avif, webp et jpg
• Les constantes _ROOT_RACINE et _ROOT_RESTREINT sont dépréciées
• Correction du formulaire d’institution d’objet pour les personnes non webmestres avec un objet sans parent
• Correction de la chaîne de langue pour les articles à paraître
• Conditionner l’affichage des liens ical dans Suivre la vie du site
• Déplacement de squelettes dédiés vers les plugins Organiseur & Pétitions (pensez à mettre à jour ces plugins si vous les utilisez)
• Émettre un log lors de l’utilisation de compacte() qui est déprécié depuis longtemps ; utiliser minifier()
• Dans certains cas avec SVG le filtre svg_filter_sepia est absent et nécessite d’être chargé
• Correction d’un deprecated en PHP 8.5 sur la création d’un message de forum interne
• Certains champs de documents de doivent pas être éditables manuellement
• Correction d’un warning quand un item RSS comporte une balise source auto-fermante
• Réparer le bouton « Tenter une nouvelle récupération » quand un site est en erreur de syndication
• Correction d’un type incorrect dans svp_redirige_boucle créant une erreur fatale en PHP 8.5

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.2.1).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

• Seenthis : https://seenthis.net/people/spip
• Facebook : https://www.facebook.com/spip.net
• Mamot : https://mamot.fr/@spip

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord.

Vous pouvez aussi poster un message et échanger sur :

• La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
• La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net.