SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > SPIP 3.0.21, mise à jour de sécurité

SPIP 3.0.21, mise à jour de sécurité

dimanche 1er novembre 2015, par La team

SPIP chasse ses excès d’XSS sans citrouille

Trois personnes nous ont signalé des failles de type XSS dans SPIP. Elles concernent les sites dont l’inscription est ouverte. Des rédacteurs malveillant pourraient alors en profiter.

Nous sortons donc SPIP 3.0.21 qui corrige ces failles et inclut les correctifs habituels.

Merci à Sébastien Barré, Abdelkrim Kechbit et Fabien Abbadie pour les signalements de ces failles. Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

Cerise sur le potiron, nous en profitons pour lancer SPIP 3.1 Release Candidate. En effet, la version SPIP 3.1 est quasiment prête et déjà utilisée par certaines personnes en production sans problème (merci à elles pour leurs nombreux retours). N’hésitez donc pas, si cela vous tente à passer en 3.1, toute régression (s’il y en a) sera rapidement corrigée !

Merci de nous faire parvenir vos derniers retours avant son lancement officiel (via https://core.spip.net/projects/spip/issues/)

SPIP 3.0.21

- Correction de 2 failles XSS
- Pouvoir renseigner la date de rédaction antérieure dès la création
- Correction d’un bug sur les droits des auteur⋅e⋅s sur les documents
- De nombreux bugs ont été corrigés (voir le détail plus bas)

Télécharger SPIP 3.0.21 :
http://files.spip.net/spip/stable/spip-3.0.zip

SPIP 3.1 Release Candidate

- Correction de 2 failles XSS
- Plugin plan ajouté aux plugins-dist
- Peaufinage du thème de l’interface privé
- de nombreuses régressions ont été identifiées et corrigées

Télécharger SPIP 3.1 RC :
http://files.spip.net/spip/archives/SPIP-vtrois.1.0-rc.zip

Correction de bugs

Quelques bugs corrigés en 3.0 et/ou 3.1, cf https://core.spip.net/projects/spip/issues?query_id=14

  • correction d’un problème avec les mots de passe contenants un espace sous PostgreSQL (3.1)
  • utilisation d’un fichier spécifique pour les logs des autorisations (3.1)
  • correction d’un bug empêchant de passer la valeur 0 dans un champ de formulaire obligatoire (3.0 + 3.1)
  • correction d’un bug dans la purge des sauvegardes automatiques de saisies des formulaires (3.0 + 3.1)
  • correction d’un bug sur la date de modification d’un fil de forum lorsque la modération a priori est active (3.0 + 3.1)
  • correction d’un bug sur le filtre |liens_absolus et les attributs data-src (3.0 + 3.1)
  • correction d’un bug lors de l’utilisation de SPIP derrière Varnish (3.1)
  • amélioration de l’ergonomie du gestionnaire de plugins : quand on active un plugin depuis la page des plugins inactifs on est bien redirigé vers la page des plugins actifs (3.1)
  • correction d’un bug qui générait des erreurs sql dans les logs lors de l’installation (3.1)
  • amélioration du formulaire de modification de date afin qu’il fonctionne sans javascript (3.1)
  • nouvelle couleur par défaut dans l’espace privé (3.1)
  • amélioration du contenu du pipeline post_edition lors de la suppression d’un document (3.1)
  • correction d’un bug lors de l’utilisation des champs dans des boucles (3.1)
  • correction d’un bug sur le filtre |extraire_attribut appliqué aux attributs du type sur xxx-yyy (3.1)
  • correction d’un bug empêchant de prévisualiser un article post-daté (3.1)
  • correction d’un bug avec les hébergeurs qui restreignent l’utilisation de certaines fonctions PHP (ini_set et php_uname) (3.1)
  • correction d’une régression qui empêchait de de définir le jeu de caractères (charset) d’une connexion SQL externe (3.1)
  • correction d’un bug sur les jointures SQL automatiques lors de l’utilisation de la balise #TRI (3.1)
  • correction d’un bug dans le formulaire de redirection d’article (3.1)
  • correction d’un bug qui générait une erreur lors de l’utilisation de l’API SQL dans un formulaire CVT si l’utilisateur n’est pas connecté (3.1)
  • correction d’un bug qui empêchait l’affichage de la barre des raccourcis lors de l’édition en plein écran (3.1)
  • correction d’un bug graphique dans le formulaire de configuration de la boite multimédia (mediabox) (3.1)
  • simplification du message explicatif dans le formulaire de forum lorsque toutes les extensions de ficheirs sont autorisées (3.1)
  • correction d’un bug qui affichait un message d’erreur inadapté lors du référencement automatique d’un site syndiqué (3.1)
  • amélioration de la compatibilité ascendante pour le pipeline jqueryui_plugins (3.1)
  • amélioration des squelettes par défaut pour prise en charge des #LOGO_xxx{left} ou #LOGO_xxx{right}(3.1)
  • correction d’un bug graphique sur le formulaire permettant d’éditer l’url d’un objet (3.1)
  • correction d’un bug sur l’invalidation du find_in_path qui détériorait la performance (3.0 + 3.1)
  • correction d’un bug de dépendance lors de la première installation d’un plugin qui nécessitant un plugin du core (3.0 + 3.1)
  • correction d’un bug d’affichage de la prévisualisation des messages de forum dans l’espace privé (3.1)

Comment mettre à jour ?

N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :

1. par spip_loader.php (dernière version 2.5.5)

si vous avez déjà installé spip_loader,
rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP.

Attention cependant : lisez bien les instructions sur
http://www.spip.net/fr_download#spip_loader pour ne pas être
surpris par un passage non voulu de SPIP 2 à SPIP 3.

Tout savoir sur spip_loader :
http://www.spip.net/fr_article5705.html

2. par copie des fichiers

SPIP 3.0.21 est disponible à l’adresse http://files.spip.net/spip/stable/spip-3.0.zip

3.0 par SVN

Si vous êtes dans la branche 3.0 (svn ://trac.rezo.net/spip/branches/spip-3.0) faites simplement un
svn up

3.1 par SVN

Pour faire un test de la version 3.1
Vous pouvez également l’installer par SVN avec la commande :
svn co svn://trac.rezo.net/spip/spip

3.1 par spip_loader

En remplaçant
http://zone.spip.org/trac/spip-zone/browser/_outils_/spip_loader/trunk/spip_loader.php#L31
par :
define('_CHEMIN_FICHIER_ZIP', 'spip/dev/SPIP-svn.zip');

Comment être tenu au courant de ces annonces ?

Le plus simplement du monde en s’inscrivant sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux ne sont pas en reste :

Messages

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.