Accueil > Release > Mise à jour CRITIQUE de sécurité : sortie de SPIP 4.0.1 et SPIP  (...)

Mise à jour CRITIQUE de sécurité : sortie de SPIP 4.0.1 et SPIP 3.2.12

mercredi 15 décembre 2021, par La team

Des failles de sécurité nous ont été signalées sur la branche 4.0, elles permettent des injections SQL, de l’exécution de code à distance, ainsi que quelques XSS. Merci à Charles Fol et Théo Gordyjan pour ces multiples signalements ! La version SPIP 4.0.1 corrige toutes ces failles.

Nous sortons aussi une version SPIP 3.2.12 qui corrige ces failles pour la branche 3.2.

Il est impératif de mettre à jour votre site SPIP dès que possible.

Il n’a pas été possible de faire en sorte que l’écran de sécurité corrige ces failles, nous vous conseillons donc vivement de faire cette mise à jour.

Autres améliorations et corrections

La version SPIP 4.0.1 propose également quelques améliorations et corrige certains bugs, parmi lesquels :

  • corrections sur le téléversement de fichiers (BigUp) qui pouvait provoquer une erreur à la fin d’un transfert,
  • correction sur les fichiers de cache de SPIP (4.0) qui se recalculaient inutilement,
  • correction d’un bug empêchant l’enregistrement d’un article quand sa prévisualisation affiche un formulaire
  • correction sur le sélecteur de date qui générait des dates invalides lorsque l’interface privée est en anglais
  • unification de l’apparence des menus déroulants dans l’espace privé
  • correction d’un bug d’affichage des documents audio/vidéo insérés dans l’espace privé
  • correction d’un bug qui pouvait enregistrer dans le navigateur le mot de passe saisie lors de l’édition d’un auteur dans l’espace privé
  • amélioration de l’affichage des images SVG dans l’espace privé sur petit écran
  • ajout de l’information du poids de l’image en plus de ses dimensions dans le bloc d’édition des logos d’objets
  • amélioration de l’affichage de la page de login quand le site utilise une image haute définition en arrière plan
  • correction de problèmes d’affichage pour certaines icones en langue RTL
  • amélioration de la fonction de surlignage des termes lors de la recherche afin qu’elle fonctionne aussi lors d’un rechargement AJAX
  • correction d’un bug pouvant entraîner une fuite de données quand un formulaire était utilisé dans un modèle
  • amélioration de l’affichage des images insérées dans le texte des objets dans l’espace privé
  • correction d’un bug qui pouvait empêcher le téléversement d’un fichier SVG lors de l’utilisation du mod_security d’Apache
  • correction d’un bug qui provoquait le non affichage des images SVG dans les fenêtres modales
  • amélioration du balisage utilisée pour afficher une image SVG dans le contenu d’un objet
  • correction d’un bug d’affichage de la médiathèque quand un document comporte une très longue URL dans son titre ou ses crédits
  • rétablissement de la fonction d’optimisation des anciennes révisions en base de données
  • correction de l’affichage de la liste des sites syndiquées en colonne latérale dans l’espace privé

Nous avons aussi introduit PHP_CodeSniffer comme outil de développement et formaté le code SPIP en accord avec nos règles de codage cf https://www.spip.net/fr_article6677.html & https://discuter.spip.net/t/coding-standards/155150/20

Les fichiers de langue qui contiennent le précieux travail fourni par les personnes qui participent à la traduction de l’interface de SPIP ont aussi été mis à jour.

De nombreuses pages de documentation ont été créées ou mises à jour sur https://www.spip.net

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 5.0.1).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi
SPIP 4.0 SPIP 4.0.1 Branche stable
SPIP 3.2 SPIP 3.2.12 Branche maintenue

Les versions SPIP 3.1 et antérieures ne sont plus maintenues.
Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Si vous êtes un peu perdu⋅e il y aura certainement une personne pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur le site https://discuter.spip.net

Comment être tenu au courant de ces annonces ?

C’est simple, suivez la liste « Annonces » du site https://discuter.spip.net

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur https://discuter.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Messages

  • Bonjour ? mes plugins ne fonctionnent plus en local sous Mamp, même ceux auquels j’ai transformé le 4.0 du xml en 4.0.1.
    Le site s’affiche bien sinon.
    Merci

  • Bonjour
    Après la mise à jour vers spip 4.0.1 qui semble avoir bien fonctionné, j’ai eu besoin de créer un mot clef associé à une rubrique. Impossible de le faire. J’ai le message d’erreur mot_edit : Accès interdit
    Je soupçonne un bug lié à la mise à jour car je n’avais pas ce problème auparavant.
    J’ai tenté la solution indiquée ici
    https://contrib.spip.net/Message-d-erreur-Acces-interdit
    mais elle ne fonctionne pas.

  • @Patrick
    peux tu donner les bornes de tes plugins perso ?

    @jean-michel
    est ce que tes plugins sont à jour ?
    essaie de voir si tu reproduis le bug en desactivant les plugins (pour identifier le plugin fautif)

  • Merci pour cette mise à jour et particulièrement le correctif sur le cache.

  • @erational
    Mes plugins sont bien à jour.
    J’ai aussi testé après les avoir tous désactivés, mais ça n’a pas éliminé l’erreur.

  • Où se trouve le fichier Spip loader de la version SPIP 3.2.12 ?
    Merci

  • « Mettre à jour en utilisant le spip_loader
    Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader … »

    **aussi** ? Il y a un autre moyen ?

  • Merci pour la réponse : j’avais mis comme borne « 4.0.1 » alors qu’il fallait mettre « 4.0.* » dans chaque « paquet.xml ».
    J’ai même pu reconnecter un ancien plugin en créant son fichier « paquet.xml ».
    Tous mes plugins fonctionnent donc. Par contre je n’ai pas pu aller plus avant faute de temps pour tester.
    Je rappelle que je suis en local sous MAMP.
    Bonne journée et merci

  • Bonjour,
    J’ai vu passer de nombreux tickets avec des mentions style « reporté en 3.2 ». Et là aucune info.
    Doit on comprendre que, finalement, il n’y a que la correction de la faille qui a été mise dans cette version 3.2.12 ?
    Clt

  • En fait il y a eu aussi quelques correctifs (reports) de bugs sur la 3.2, on ne l’a pas mentionné effectivement. https://git.spip.net/spip/spip/src/branch/3.2/CHANGELOG.TXT

  • @Marcimat
    Ouf, les devs n’auront donc pas travaillé pour des prunes :-)
    Merci pour l’info
    Clt

  • Je me demande si il n’y a pas encore un problème avec le cache. Avant sur Bibliosurf le cache était de 100mo. Aujourd’hui, il plafonné de 8mo.

  • Bonsoir,
    et donc pas un seul joyeux encouragement dans tous ces messages ? rooo
    je répare de suite ce manque !

    Merci à vous tout·es pour ce suivi et ces améliorations constantes,
    SPIP c’est toujours aussi bien, et ça ne cesse d’être mieux, bravo à vous !

  • Je me réponds. Je croyais que spip_loader allait m’installer par défaut la dernière version, à savoir la 4.0.1 or le squelette que j’utilise, HTML5UP Massively, n’est pas encore compatible avec cette version. En fait spip_loader détecte la famille de version installée et me propose par défaut la version 3.1.12, un menu déroulant permet si on le veut de passer en 4.0.1. C’est donc très bien fait. Un grand merci à tous ceux qui y travaillent

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.