SPIP 2.1.6 est sortie
Cette nouvelle version corrige divers problèmes de sécurité.
Ces bugs pouvaient permettre à un rédacteur du site de modifier la
configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).
Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours
pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.
La version 2.1.6 corrige aussi quelques petits soucis mineurs :
sur la messagerie interne en cas de l’absence du plugin « champs extras ».
l’info de mise à jour pouvait indiquer plusieurs nouvelles versions de SPIP
des erreurs de compilation ne s’affichaient plus
utilisation de LIKE en SQLite
année 0000 en Postgresql
amélioration de la détection de l’existence d’une table
gestion d’un champ titre générique pour les urls
Messages
3 janvier 2011, 12:10, par Valéry
Bonjour,
Quelles sont les versions de SPIP concernées par ce problème de sécurité ?
Une mise à jour de l’écran de sécurité suffit-il ?
3 janvier 2011, 17:59, par b_b
Salut, oui la mise à jour de l’écran de sécurité suffit comme indiqué dans l’annonce de sortie sur contrib :
http://www.spip-contrib.net/SPIP-2-1-6
++
5 janvier 2011, 09:56, par babbibel
Il semble que Wordpress connait aussi des problèmes de sécurité du même genre. Mais depuis plusieurs semaines, aucun patch ne permet de colmater la faille.
Une seule mise-à-jour semble suffire pour corriger celle de spip...
Mis à part l’immense compétence et le talent des développeurs spip, comment cela s’explique t’il ?
Y a t’il un spécialiste qui veut bien prendre quelques minutes pour comparer les 2 situations ?
Merci d’avance.