Trois personnes nous ont signalé des failles de type XSS dans SPIP. Elles concernent les sites dont l’inscription est ouverte. Des rédacteurs malveillant pourraient alors en profiter.
Nous sortons donc SPIP 3.0.21 qui corrige ces failles et inclut les correctifs habituels.
Merci à Sébastien Barré, Abdelkrim Kechbit et Fabien Abbadie pour les signalements de ces failles. Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.
Cerise sur le potiron, nous en profitons pour lancer SPIP 3.1 Release Candidate. En effet, la version SPIP 3.1 est quasiment prête et déjà utilisée par certaines personnes en production sans problème (merci à elles pour leurs nombreux retours). N’hésitez donc pas, si cela vous tente à passer en 3.1, toute régression (s’il y en a) sera rapidement corrigée !
Merci de nous faire parvenir vos derniers retours avant son lancement officiel (via https://core.spip.net/projects/spip/issues/)
SPIP 3.0.21
- Correction de 2 failles XSS
- Pouvoir renseigner la date de rédaction antérieure dès la création
- Correction d’un bug sur les droits des auteur⋅e⋅s sur les documents
- De nombreux bugs ont été corrigés (voir le détail plus bas)
Télécharger SPIP 3.0.21 :
http://files.spip.net/spip/stable/spip-3.0.zip
SPIP 3.1 Release Candidate
- Correction de 2 failles XSS
- Plugin plan ajouté aux plugins-dist
- Peaufinage du thème de l’interface privé
- de nombreuses régressions ont été identifiées et corrigées
Télécharger SPIP 3.1 RC :
http://files.spip.net/spip/archives/SPIP-vtrois.1.0-rc.zip
Correction de bugs
Quelques bugs corrigés en 3.0 et/ou 3.1, cf https://core.spip.net/projects/spip/issues?query_id=14
- correction d’un problème avec les mots de passe contenants un espace sous PostgreSQL (3.1)
- utilisation d’un fichier spécifique pour les logs des autorisations (3.1)
- correction d’un bug empêchant de passer la valeur 0 dans un champ de formulaire obligatoire (3.0 + 3.1)
- correction d’un bug dans la purge des sauvegardes automatiques de saisies des formulaires (3.0 + 3.1)
- correction d’un bug sur la date de modification d’un fil de forum lorsque la modération a priori est active (3.0 + 3.1)
- correction d’un bug sur le filtre |liens_absolus et les attributs data-src (3.0 + 3.1)
- correction d’un bug lors de l’utilisation de SPIP derrière Varnish (3.1)
- amélioration de l’ergonomie du gestionnaire de plugins : quand on active un plugin depuis la page des plugins inactifs on est bien redirigé vers la page des plugins actifs (3.1)
- correction d’un bug qui générait des erreurs sql dans les logs lors de l’installation (3.1)
- amélioration du formulaire de modification de date afin qu’il fonctionne sans javascript (3.1)
- nouvelle couleur par défaut dans l’espace privé (3.1)
- amélioration du contenu du pipeline post_edition lors de la suppression d’un document (3.1)
- correction d’un bug lors de l’utilisation des champs
dans des boucles (3.1) - correction d’un bug sur le filtre |extraire_attribut appliqué aux attributs du type sur xxx-yyy (3.1)
- correction d’un bug empêchant de prévisualiser un article post-daté (3.1)
- correction d’un bug avec les hébergeurs qui restreignent l’utilisation de certaines fonctions PHP (ini_set et php_uname) (3.1)
- correction d’une régression qui empêchait de de définir le jeu de caractères (charset) d’une connexion SQL externe (3.1)
- correction d’un bug sur les jointures SQL automatiques lors de l’utilisation de la balise #TRI (3.1)
- correction d’un bug dans le formulaire de redirection d’article (3.1)
- correction d’un bug qui générait une erreur lors de l’utilisation de l’API SQL dans un formulaire CVT si l’utilisateur n’est pas connecté (3.1)
- correction d’un bug qui empêchait l’affichage de la barre des raccourcis lors de l’édition en plein écran (3.1)
- correction d’un bug graphique dans le formulaire de configuration de la boite multimédia (mediabox) (3.1)
- simplification du message explicatif dans le formulaire de forum lorsque toutes les extensions de ficheirs sont autorisées (3.1)
- correction d’un bug qui affichait un message d’erreur inadapté lors du référencement automatique d’un site syndiqué (3.1)
- amélioration de la compatibilité ascendante pour le pipeline jqueryui_plugins (3.1)
- amélioration des squelettes par défaut pour prise en charge des
#LOGO_xxx{left}
ou#LOGO_xxx{right}
(3.1) - correction d’un bug graphique sur le formulaire permettant d’éditer l’url d’un objet (3.1)
- correction d’un bug sur l’invalidation du find_in_path qui détériorait la performance (3.0 + 3.1)
- correction d’un bug de dépendance lors de la première installation d’un plugin qui nécessitant un plugin du core (3.0 + 3.1)
- correction d’un bug d’affichage de la prévisualisation des messages de forum dans l’espace privé (3.1)
Comment mettre à jour ?
N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :
- Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- Forum : http://forum.spip.net
- IRC : http://irc.spip.net
1. par spip_loader.php (dernière version 2.5.5)
si vous avez déjà installé spip_loader,
rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php
pour installer la dernière version de SPIP.
Attention cependant : lisez bien les instructions sur
http://www.spip.net/fr_download#spip_loader pour ne pas être
surpris par un passage non voulu de SPIP 2 à SPIP 3.
Tout savoir sur spip_loader :
http://www.spip.net/fr_article5705.html
2. par copie des fichiers
SPIP 3.0.21 est disponible à l’adresse http://files.spip.net/spip/stable/spip-3.0.zip
3.0 par SVN
Si vous êtes dans la branche 3.0 (svn ://trac.rezo.net/spip/branches/spip-3.0) faites simplement un
svn up
3.1 par SVN
Pour faire un test de la version 3.1
Vous pouvez également l’installer par SVN avec la commande :
svn co svn://trac.rezo.net/spip/spip
3.1 par spip_loader
En remplaçant
http://zone.spip.org/trac/spip-zone/browser/_outils_/spip_loader/trunk/spip_loader.php#L31
par :
define('_CHEMIN_FICHIER_ZIP', 'spip/dev/SPIP-svn.zip');
Comment être tenu au courant de ces annonces ?
Le plus simplement du monde en s’inscrivant sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux ne sont pas en reste :
- Seenthis : http://seenthis.net/people/spip
- Twitter : http://twitter.com/spip
- Facebook : http://www.facebook.com/spip.net
Discussions par date d’activité
5 discussions
soit un spip local et un spip d’exploitation de même version
en spip 3.0.20
récupération de la sauvegarde locale et import dans le SPIP d’exploitation (Mysql) = pas de problème
passage en spip 3.21 = pas de problème
1) récupération de la sauvegarde locale et import dans le SPIP d’exploitation (Mysql) = alerte table spip meta absente alors qu’elle est bien visible et création d’un administrateur N°-1 identique à l’administrateur d’origine
2) Effacement total de la base (phpmyadmin), réinstallation de spip, puis réimport = même problème
3) Tentative d’effacement de l’admin, -1, trois réactions en fonction du site (trois sites testés)
- pas de possibilité de "poubelliser"
- message style « attention vous êtes connecté sous cet identifiant »
- suppression possible mais message de type « impossible de modifier, ce login existe déjà »
4) import de la base à partir d’une vraie sauvegarde (phpmyadmin) = pas de problème
Nouvelle mise à jour des sites à partir d’un dump à nouveau le problème
alerte table spip meta absente alors qu’elle est bien visible et création d’un administrateur N°-1 identique à l’administrateur d’origine alors qu’il n’y est pas dans le dump.
N’y aurait-il pas un problème avec le choix imposé de faire des dump SQLite sur des bases mysql ?
Répondre à ce message
Merci pour cette sortie.
Tout fonctionnement parfaitement après la mise à jour.
Mise a jour OK pour moi d’une 3.0.20 vers la 3.0.21 via le spip_loader.php
Répondre à ce message
Bonjour,
Est-il possible, s’il vous plaît, d’obtenir la liste des fichiers impactés par les mises à jour comme sur ce lien ?
http://www.spip.net/fr_article5737.html
Merci.
Répondre à ce message
C’est curieux que des éditeurs de site web soient ainsi attaqués.Est-ce pour que les utilisateurs ne se sentent pas en securite ?
Répondre à ce message
Impossible de télécharger le fichier zip, tant pour la version 3.1 que pour la version 3.0.21. Mon téléchargement est bloqué.
Peux tu confirmer ? sur quelle plateforme es tu ?
Les zips se téléchargent sans problème.
Télécharger SPIP 3.0.21 :
http://files.spip.net/spip/stable/spip-3.0.zip
Télécharger SPIP 3.1 RC :
http://files.spip.net/spip/archives/SPIP-vtrois.1.0-rc.zip
Hier soir, je n’arrivais pas sur Mac OS X El Capitan. J’ai testé le téléchargement sur Safari et Chrome. Je viens de faire un test depuis un PC sur Windows 7 et explorer (connexion depuis un autre endroit) : le téléchargement s’est aussi interrompu.
Je retesterai dès que possible sur mon Mac.
C’est bon ! J’ai enfin réussi à charger le package. Par contre, ça rame toujours sur Mac.
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |