SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > SPIP 2.1.6

SPIP 2.1.6

lundi 3 janvier 2011, par Ben.

SPIP 2.1.6 est sortie

Cette nouvelle version corrige divers problèmes de sécurité.

Ces bugs pouvaient permettre à un rédacteur du site de modifier la
configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).

Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours
pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.

La version 2.1.6 corrige aussi quelques petits soucis mineurs :
- sur la messagerie interne en cas de l’absence du plugin « champs extras ».
- l’info de mise à jour pouvait indiquer plusieurs nouvelles versions de SPIP
- des erreurs de compilation ne s’affichaient plus
- utilisation de LIKE en SQLite
- année 0000 en Postgresql
- amélioration de la détection de l’existence d’une table
- gestion d’un champ titre générique pour les urls

Messages

  • Bonjour,

    Quelles sont les versions de SPIP concernées par ce problème de sécurité ?

    Une mise à jour de l’écran de sécurité suffit-il ?

  • Salut, oui la mise à jour de l’écran de sécurité suffit comme indiqué dans l’annonce de sortie sur contrib :

    SPIP 2.1.6

    Cette nouvelle version corrige divers problèmes de sécurité.
    Ces bugs pouvaient permettre à un rédacteur du site de modifier la configuration du site à travers un script de configuration mal protégé, ou de manipuler le compte d’un administrateur par des attaques du type Cross-Site Scripting (XSS).
    Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.
    La version 2.1.6 corrige aussi quelques petits soucis mineurs : (...)

    SPIP 2.1.6
    par L’équipe de SPIP-Contrib

    ++

  • Il semble que Wordpress connait aussi des problèmes de sécurité du même genre. Mais depuis plusieurs semaines, aucun patch ne permet de colmater la faille.

    Une seule mise-à-jour semble suffire pour corriger celle de spip...
    Mis à part l’immense compétence et le talent des développeurs spip, comment cela s’explique t’il ?

    Y a t’il un spécialiste qui veut bien prendre quelques minutes pour comparer les 2 situations ?

    Merci d’avance.

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.