SPIP 2.1.6 est sortie
Cette nouvelle version corrige divers problèmes de sécurité.
Ces bugs pouvaient permettre à un rédacteur du site de modifier la
configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).
Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours
pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.
La version 2.1.6 corrige aussi quelques petits soucis mineurs :
– sur la messagerie interne en cas de l’absence du plugin « champs extras ».
– l’info de mise à jour pouvait indiquer plusieurs nouvelles versions de SPIP
– des erreurs de compilation ne s’affichaient plus
– utilisation de LIKE en SQLite
– année 0000 en Postgresql
– amélioration de la détection de l’existence d’une table
– gestion d’un champ titre générique pour les urls
Messages
3 janvier 2011, 12:10, par Valéry
Bonjour,
Quelles sont les versions de SPIP concernées par ce problème de sécurité ?
Une mise à jour de l’écran de sécurité suffit-il ?
3 janvier 2011, 17:59, par b_b
Salut, oui la mise à jour de l’écran de sécurité suffit comme indiqué dans l’annonce de sortie sur contrib :
http://www.spip-contrib.net/SPIP-2-1-6
++
5 janvier 2011, 09:56, par babbibel
Il semble que Wordpress connait aussi des problèmes de sécurité du même genre. Mais depuis plusieurs semaines, aucun patch ne permet de colmater la faille.
Une seule mise-à-jour semble suffire pour corriger celle de spip...
Mis à part l’immense compétence et le talent des développeurs spip, comment cela s’explique t’il ?
Y a t’il un spécialiste qui veut bien prendre quelques minutes pour comparer les 2 situations ?
Merci d’avance.