SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

286 Plugins, 197 contribs sur SPIP-Zone, 188 visiteurs en ce moment

Accueil > Vie de SPIP et autour de SPIP > SPIP-core > SPIP 3.0.21, mise à jour de sécurité

SPIP 3.0.21, mise à jour de sécurité

1er novembre 2015 – par L’équipe de SPIP-Contrib – 10 commentaires

13 votes

Trois personnes nous ont signalé des failles de type XSS dans SPIP. Elles concernent les sites dont l’inscription est ouverte. Des rédacteurs malveillant pourraient alors en profiter.

Nous sortons donc SPIP 3.0.21 qui corrige ces failles et inclut les correctifs habituels.

Merci à Sébastien Barré, Abdelkrim Kechbit et Fabien Abbadie pour les signalements de ces failles. Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

Cerise sur le potiron, nous en profitons pour lancer SPIP 3.1 Release Candidate. En effet, la version SPIP 3.1 est quasiment prête et déjà utilisée par certaines personnes en production sans problème (merci à elles pour leurs nombreux retours). N’hésitez donc pas, si cela vous tente à passer en 3.1, toute régression (s’il y en a) sera rapidement corrigée !

Merci de nous faire parvenir vos derniers retours avant son lancement officiel (via https://core.spip.net/projects/spip/issues/)

SPIP 3.0.21

-  Correction de 2 failles XSS
-  Pouvoir renseigner la date de rédaction antérieure dès la création
-  Correction d’un bug sur les droits des auteur⋅e⋅s sur les documents
-  De nombreux bugs ont été corrigés (voir le détail plus bas)

Télécharger SPIP 3.0.21 :
http://files.spip.net/spip/stable/spip-3.0.zip

SPIP 3.1 Release Candidate

-  Correction de 2 failles XSS
-  Plugin plan ajouté aux plugins-dist
-  Peaufinage du thème de l’interface privé
-  de nombreuses régressions ont été identifiées et corrigées

Télécharger SPIP 3.1 RC :
http://files.spip.net/spip/archives/SPIP-vtrois.1.0-rc.zip

Correction de bugs

Quelques bugs corrigés en 3.0 et/ou 3.1, cf https://core.spip.net/projects/spip/issues?query_id=14

  • correction d’un problème avec les mots de passe contenants un espace sous PostgreSQL (3.1)
  • utilisation d’un fichier spécifique pour les logs des autorisations (3.1)
  • correction d’un bug empêchant de passer la valeur 0 dans un champ de formulaire obligatoire (3.0 + 3.1)
  • correction d’un bug dans la purge des sauvegardes automatiques de saisies des formulaires (3.0 + 3.1)
  • correction d’un bug sur la date de modification d’un fil de forum lorsque la modération a priori est active (3.0 + 3.1)
  • correction d’un bug sur le filtre |liens_absolus et les attributs data-src (3.0 + 3.1)
  • correction d’un bug lors de l’utilisation de SPIP derrière Varnish (3.1)
  • amélioration de l’ergonomie du gestionnaire de plugins : quand on active un plugin depuis la page des plugins inactifs on est bien redirigé vers la page des plugins actifs (3.1)
  • correction d’un bug qui générait des erreurs sql dans les logs lors de l’installation (3.1)
  • amélioration du formulaire de modification de date afin qu’il fonctionne sans javascript (3.1)
  • nouvelle couleur par défaut dans l’espace privé (3.1)
  • amélioration du contenu du pipeline post_edition lors de la suppression d’un document (3.1)
  • correction d’un bug lors de l’utilisation des champs dans des boucles (3.1)
  • correction d’un bug sur le filtre |extraire_attribut appliqué aux attributs du type sur xxx-yyy (3.1)
  • correction d’un bug empêchant de prévisualiser un article post-daté (3.1)
  • correction d’un bug avec les hébergeurs qui restreignent l’utilisation de certaines fonctions PHP (ini_set et php_uname) (3.1)
  • correction d’une régression qui empêchait de de définir le jeu de caractères (charset) d’une connexion SQL externe (3.1)
  • correction d’un bug sur les jointures SQL automatiques lors de l’utilisation de la balise #TRI (3.1)
  • correction d’un bug dans le formulaire de redirection d’article (3.1)
  • correction d’un bug qui générait une erreur lors de l’utilisation de l’API SQL dans un formulaire CVT si l’utilisateur n’est pas connecté (3.1)
  • correction d’un bug qui empêchait l’affichage de la barre des raccourcis lors de l’édition en plein écran (3.1)
  • correction d’un bug graphique dans le formulaire de configuration de la boite multimédia (mediabox) (3.1)
  • simplification du message explicatif dans le formulaire de forum lorsque toutes les extensions de ficheirs sont autorisées (3.1)
  • correction d’un bug qui affichait un message d’erreur inadapté lors du référencement automatique d’un site syndiqué (3.1)
  • amélioration de la compatibilité ascendante pour le pipeline jqueryui_plugins (3.1)
  • amélioration des squelettes par défaut pour prise en charge des #LOGO_xxx{left} ou #LOGO_xxx{right}(3.1)
  • correction d’un bug graphique sur le formulaire permettant d’éditer l’url d’un objet (3.1)
  • correction d’un bug sur l’invalidation du find_in_path qui détériorait la performance (3.0 + 3.1)
  • correction d’un bug de dépendance lors de la première installation d’un plugin qui nécessitant un plugin du core (3.0 + 3.1)
  • correction d’un bug d’affichage de la prévisualisation des messages de forum dans l’espace privé (3.1)

Comment mettre à jour ?

N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :

1. par spip_loader.php (dernière version 2.5.5)

si vous avez déjà installé spip_loader,
rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP.

Attention cependant : lisez bien les instructions sur
http://www.spip.net/fr_download#spip_loader pour ne pas être
surpris par un passage non voulu de SPIP 2 à SPIP 3.

Tout savoir sur spip_loader :
http://www.spip.net/fr_article5705.html

2. par copie des fichiers

SPIP 3.0.21 est disponible à l’adresse http://files.spip.net/spip/stable/spip-3.0.zip

3.0 par SVN

Si vous êtes dans la branche 3.0 (svn ://trac.rezo.net/spip/branches/spip-3.0) faites simplement un
svn up

3.1 par SVN

Pour faire un test de la version 3.1
Vous pouvez également l’installer par SVN avec la commande :
svn co svn://trac.rezo.net/spip/spip

3.1 par spip_loader

En remplaçant
http://zone.spip.org/trac/spip-zone/browser/_outils_/spip_loader/trunk/spip_loader.php#L31
par :
define('_CHEMIN_FICHIER_ZIP', 'spip/dev/SPIP-svn.zip');

Comment être tenu au courant de ces annonces ?

Le plus simplement du monde en s’inscrivant sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux ne sont pas en reste :

Dernière modification de cette page le 7 novembre 2015

Retour en haut de la page

Vos commentaires

  • Le 3 décembre 2015 à 14:20, par jfd En réponse à : SPIP 3.0.21, mise à jour de sécurité

    soit un spip local et un spip d’exploitation de même version

    en spip 3.0.20

    récupération de la sauvegarde locale et import dans le SPIP d’exploitation (Mysql) = pas de problème

    passage en spip 3.21 = pas de problème
    1) récupération de la sauvegarde locale et import dans le SPIP d’exploitation (Mysql) = alerte table spip meta absente alors qu’elle est bien visible et création d’un administrateur N°-1 identique à l’administrateur d’origine

    2) Effacement total de la base (phpmyadmin), réinstallation de spip, puis réimport = même problème

    3) Tentative d’effacement de l’admin, -1, trois réactions en fonction du site (trois sites testés)
    -  pas de possibilité de "poubelliser"
    -  message style « attention vous êtes connecté sous cet identifiant »
    -  suppression possible mais message de type « impossible de modifier, ce login existe déjà »

    4) import de la base à partir d’une vraie sauvegarde (phpmyadmin) = pas de problème

    • Le 12 janvier à 15:32, par jfd En réponse à : SPIP 3.0.21, mise à jour de sécurité

      Nouvelle mise à jour des sites à partir d’un dump à nouveau le problème

      alerte table spip meta absente alors qu’elle est bien visible et création d’un administrateur N°-1 identique à l’administrateur d’origine alors qu’il n’y est pas dans le dump.
      N’y aurait-il pas un problème avec le choix imposé de faire des dump SQLite sur des bases mysql ?

    Répondre à ce message

  • Le 3 novembre 2015 à 14:12, par Emilie En réponse à : SPIP 3.0.21, mise à jour de sécurité

    Merci pour cette sortie.
    Tout fonctionnement parfaitement après la mise à jour.

    Répondre à ce message

  • Le 2 novembre 2015 à 09:56, par James En réponse à : SPIP 3.0.21, mise à jour de sécurité

    Bonjour,

    Est-il possible, s’il vous plaît, d’obtenir la liste des fichiers impactés par les mises à jour comme sur ce lien ?
    http://www.spip.net/fr_article5737.html

    Merci.

    Répondre à ce message

  • Le 4 novembre 2015 à 16:33, par newsoftpclab En réponse à : SPIP 3.0.21, mise à jour de sécurité

    C’est curieux que des éditeurs de site web soient ainsi attaqués.Est-ce pour que les utilisateurs ne se sentent pas en securite ?

    Répondre à ce message

  • Le 3 novembre 2015 à 18:30, par PYJ En réponse à : SPIP 3.0.21, mise à jour de sécurité

    Impossible de télécharger le fichier zip, tant pour la version 3.1 que pour la version 3.0.21. Mon téléchargement est bloqué.

    Répondre à ce message

Répondre à cet article

Qui êtes-vous ?
  • [Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Ajouter un document

Retour en haut de la page

Ça discute par ici

  • Champs Extras 3

    16 janvier 2012 – 534 commentaires

    Ce plugin permet de créer et/ou de gérer des champs supplémentaires dans les objets éditoriaux de SPIP. Il permet donc de prendre en compte et d’afficher de nouveaux éléments dans n’importe quel objet éditorial de SPIP. Screencast Vous n’aimez pas (...)

  • Réservation d’événements

    16 mars 2015 – 190 commentaires

    Ce plugin permet d’offrir aux visiteurs de s’inscrire pour un évènement du plugin Agenda et de gérer les réservations enregistrées. Installation Le plugin s’installe comme n’importe quel plugin. il nécessite : Agenda API de vérification (...)

  • Les crayons

    23 avril 2008 – 815 commentaires

    Ce plugin permet d’éditer les contenus sur les pages publiques du site, sans passer par l’espace privé de SPIP.

  • LESS pour SPIP : Less-CSS (anciennement LESSpip)

    5 novembre 2010 – 43 commentaires

    Less-CSS (Anciennement LESSpip) est un plugin intégrant facilement le logiciel LESS dans SPIP. LESS est une extension de CSS ajoutant les variables, les classes, les opérations, les imbrications au langage. Facilitant ainsi l’écriture de (...)

  • Recommander

    3 avril 2011 – 16 commentaires

    Ce plugin propose une manière simple de suggérer de recommander par email un article à un ami. Fonction « recommander un article à un ami ». On l’ajoute dans n’importe quel squelette sous la forme : #RECOMMANDERtitre de la page,url de la page,intro (...)

Ça spipe par là