SPIP 2.1.6

Cette nouvelle version corrige divers problèmes de sécurité.

Ces bugs pouvaient permettre à un rédacteur du site de modifier la
configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).

Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours
pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.

La version 2.1.6 corrige aussi quelques petits soucis mineurs :
-  sur la messagerie interne en cas de l’absence du plugin « champs extras ».
-  l’info de mise à jour pouvait indiquer plusieurs nouvelles versions de SPIP
-  des erreurs de compilation ne s’affichaient plus
-  utilisation de LIKE en SQLite
-  année 0000 en Postgresql
-  amélioration de la détection de l’existence d’une table
-  gestion d’un champ titre générique pour les urls

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité ; si vous n’avez pas le temps de faire tout de
suite une mise à jour complète, vous pouvez sécuriser en deux minutes
votre site en téléchargeant la version 0.9.5 de l’écran de sécurité,
et en la déposant dans votre répertoire config/
* cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
installer SPIP 2.1.6

3. par FTP : SPIP 2.1.6 est disponible à l’adresse

4. et bien sûr par SVN ; si vous êtes dans la branche

  • svn ://trac.rezo.net/spip/branches/spip-2.1 faites simplement svn up

La version 2.1.6 est aussi disponible sous la branche

  • svn ://trac.rezo.net/spip/branches/spip-2-stable/
    et le tag
  • svn ://trac.rezo.net/spip/tags/spip-2.1.6/

Cette mise à jour de SPIP nécessite également une mise à jour des plugins CFG, SPIP-bonux et Composition.

Discussion

5 discussions

  • 2

    Depuis la mise à jour, mon site SPIP marche normalement : ai je fait une mauvaise manipulation ? Merci de m’aider

    • phracktale

      Hum... supprime le répertoire config, ça ne devrait plus marcher normalement après cette opération.

    • Bonjour X.O

      J’ai mis un peu de temps à comprendre ce dont tu te plaignais.

      En fait, la manip proposée par Phracktale te fait réinstaller carrément Spip. Ce n’est pas nécessaire ici.
      Dans une mise à jour mineure, (ce qui est le cas si tu viens de SPIP 2.1 déjà, tu vérifies ensuite que tout en bas de ton site, c’est bien la nouvelle version qui est indiquée (par exemple, ça affichait Spip 2.1.2 et tu vois ensuite 2.1.6 ;
      C’est que ça a marché.

      En revanche, tu vois des choses bizarres côté « privé » si tu n’as pas fait la mise à jour de certains plugins (Cfg, Spip-bonux cités ci dessus tout en bas de l’article) et Médiathèque si tu utilises ce plugin. Et sans doute d’autres...

      Pétarel

    Répondre à ce message

  • 1
    Aurélie Dufour

    Bonjour,

    J’ai constaté en installant la version 2.1.6 que la langue par défaut, malgré l’affichage en français au moment de l’installation de SPIP, est en fait l’arabe. Ainsi, les boutons d’administration « Espace privé » et « Recalculer cette page », les messages d’erreur des boucles m’apparaissaient en arabe... Je ne sais pas si d’autres personnes ont également rencontré ce problème, aussi je donne tout de même la petite manipulation à faire si jamais vous avez ce bug...

    Il faut regarder les lignes d’insertion en base de données MySQL et plus particulièrement celle-ci :

    INSERT INTO <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9tZXRhPC9jb2RlPg=="></span> VALUES('langue_site', 'ar', 'non', '2010-12-28 11:49:50');

    Et y remplacer ’ar’ par ’fr’, ce qui donne ceci :

    INSERT INTO <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9tZXRhPC9jb2RlPg=="></span> VALUES('langue_site', 'fr', 'non', '2010-12-28 11:49:50');

    Et là tout rentre dans l’ordre ! :)

    En revanche, je rencontre un problème de téléchargement de fichiers joints aux articles : après avoir sélectionné le fichier à uploader, puis cliqué sur le bouton « Télécharger », une petite roue apparaît, comme si le document était effectivement téléchargé, mais ça s’arrête très vite et le téléchargement est stoppé net... Le répertoire IMG/ ne contient rien, la base de données aucune référence à un document joint non plus. Les droits en écriture sur ce répertoire sont bons, le problème semble venir d’ailleurs, mais où ? Quelqu’un a-t-il déjà eu ce souci et comme le résoudre ?

    Merci d’avance pour vos réponses ! :)
    Aurélie

    • Bonjour Aurélie,

      J’avais exactement la même chose. Je pense avoir résolu le problème : d’abord en mettant à jour avec la dernière version de CFG et Spip-bonux comme il est dit ci dessus. Et aussi en mettant à jour Médiathèque.

      Quand on fait la mise à jour de Médiathèque, il y a un vilain message d’erreur qui s’affiche quand on va côté « privé », mais dès qu’on vide le cache (via SPIP, tout bêtement), il disparait et apparemment, ne réapparait plus. Donc juste une question de couac avec l’ancienne version de Médiathèque qu’il a en mémoire, je pense.

      J’en suis là pour le moment, tout a l’air de marcher, mais je viens tout juste de résoudre le pb... On continue de partager nos ennuis et nos solutions !

      Pétarel

    Répondre à ce message

  • 3

    Depuis la mise à jour le sélecteur de composition ne fonctionne plus ! Si personne ne sait comment peux t on réinstaller la précédente version

    Répondre à ce message

  • 4

    Une petite question, on ne met plus les articles de versions de SPIP sur spip.net ?

    Si on le met aussi sur spip.net, je veux bien créer et mettre l’auteur adéquate sur l’article si c’est faute de temps…

    • Je suppose qu’on ne fait pas un article de doc pour les versions mineures. Depuis la 2.0 il n’y en a jamais eu sur le .net car on essaye désormais de ne pas ajouter de fonctionnalités dans ces versions, mais uniquement des corrections. Enfin je crois.

    • Oui, je suis d’accord, mais là, on peut avoir l’impression qu’il n’y a pas eu de nouvelles versions de SPIP depuis la 2.1…

      Et par défaut, le site principal est spip.net où on renvoie en bas de page sur un squelette par défaut (ou même beaucoup de personnes dans des squelettes personnalisés). De plus, même sur Wordpress, on trouve les versionnings… M’enfin, bref, si vous changez d’avis, faites moi signe, je le ferai le cas échéant.

    • Oui ça serait peut-être bien, mais je voulais dire : ce n’est plus le cas depuis SPIP 2.0 c’est-à-dire depuis déjà plus de 2 ans, ce n’est pas nouveau. :)

    Répondre à ce message

  • 3

    merci mais ca n’a servi à rien :

    voici ce que l’interface interne renvoit :
    ./plugins/auto/compositions/formulaires/inc-selecteur_composition.html

    Numéro message squelette boucle Ligne
    1 Table SQL « POUR » inconnue ../plugins/auto/compositions/formulaires/inc-selecteur_composition.html _pour 1

    • à j’ai eu un bug semblable également.

      Essayer de mettre aussi à jour Bonux + vider le cache. Cela devrait rentrer dans l’ordre.

      ps : merci de répondre dans le même fil de discussion.

    • A. LE GALL

      Bonsoir,

      Je me suis précipité aussi pour faire cette mise à jour (mais rien qu’en local heureusement.
      Le formulaire contact avancé ne fonctionne plus effectivement, même en faisant aussi une mise à jour de ce plugin.
      La version spip 2.1.6 n’est sans doute pas mûre ! ?

      J’espère que cela va pouvoir s’arranger bientôt.
      Et de toute façon ne pas se précipiter.
      À bientôt

    • idem, chez moi pas de problème. Essayez de mettre à jour CFG

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom