SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

290 Plugins, 198 contribs sur SPIP-Zone, 121 visiteurs en ce moment

Accueil > Vie de SPIP et autour de SPIP > SPIP-core > SPIP 3.0.21, mise à jour de sécurité

SPIP 3.0.21, mise à jour de sécurité

1er novembre 2015 – par L’équipe de SPIP-Contrib – 10 commentaires

15 votes

Trois personnes nous ont signalé des failles de type XSS dans SPIP. Elles concernent les sites dont l’inscription est ouverte. Des rédacteurs malveillant pourraient alors en profiter.

Nous sortons donc SPIP 3.0.21 qui corrige ces failles et inclut les correctifs habituels.

Merci à Sébastien Barré, Abdelkrim Kechbit et Fabien Abbadie pour les signalements de ces failles. Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

Cerise sur le potiron, nous en profitons pour lancer SPIP 3.1 Release Candidate. En effet, la version SPIP 3.1 est quasiment prête et déjà utilisée par certaines personnes en production sans problème (merci à elles pour leurs nombreux retours). N’hésitez donc pas, si cela vous tente à passer en 3.1, toute régression (s’il y en a) sera rapidement corrigée !

Merci de nous faire parvenir vos derniers retours avant son lancement officiel (via https://core.spip.net/projects/spip/issues/)

SPIP 3.0.21

-  Correction de 2 failles XSS
-  Pouvoir renseigner la date de rédaction antérieure dès la création
-  Correction d’un bug sur les droits des auteur⋅e⋅s sur les documents
-  De nombreux bugs ont été corrigés (voir le détail plus bas)

Télécharger SPIP 3.0.21 :
http://files.spip.net/spip/stable/spip-3.0.zip

SPIP 3.1 Release Candidate

-  Correction de 2 failles XSS
-  Plugin plan ajouté aux plugins-dist
-  Peaufinage du thème de l’interface privé
-  de nombreuses régressions ont été identifiées et corrigées

Télécharger SPIP 3.1 RC :
http://files.spip.net/spip/archives/SPIP-vtrois.1.0-rc.zip

Correction de bugs

Quelques bugs corrigés en 3.0 et/ou 3.1, cf https://core.spip.net/projects/spip/issues?query_id=14

  • correction d’un problème avec les mots de passe contenants un espace sous PostgreSQL (3.1)
  • utilisation d’un fichier spécifique pour les logs des autorisations (3.1)
  • correction d’un bug empêchant de passer la valeur 0 dans un champ de formulaire obligatoire (3.0 + 3.1)
  • correction d’un bug dans la purge des sauvegardes automatiques de saisies des formulaires (3.0 + 3.1)
  • correction d’un bug sur la date de modification d’un fil de forum lorsque la modération a priori est active (3.0 + 3.1)
  • correction d’un bug sur le filtre |liens_absolus et les attributs data-src (3.0 + 3.1)
  • correction d’un bug lors de l’utilisation de SPIP derrière Varnish (3.1)
  • amélioration de l’ergonomie du gestionnaire de plugins : quand on active un plugin depuis la page des plugins inactifs on est bien redirigé vers la page des plugins actifs (3.1)
  • correction d’un bug qui générait des erreurs sql dans les logs lors de l’installation (3.1)
  • amélioration du formulaire de modification de date afin qu’il fonctionne sans javascript (3.1)
  • nouvelle couleur par défaut dans l’espace privé (3.1)
  • amélioration du contenu du pipeline post_edition lors de la suppression d’un document (3.1)
  • correction d’un bug lors de l’utilisation des champs dans des boucles (3.1)
  • correction d’un bug sur le filtre |extraire_attribut appliqué aux attributs du type sur xxx-yyy (3.1)
  • correction d’un bug empêchant de prévisualiser un article post-daté (3.1)
  • correction d’un bug avec les hébergeurs qui restreignent l’utilisation de certaines fonctions PHP (ini_set et php_uname) (3.1)
  • correction d’une régression qui empêchait de de définir le jeu de caractères (charset) d’une connexion SQL externe (3.1)
  • correction d’un bug sur les jointures SQL automatiques lors de l’utilisation de la balise #TRI (3.1)
  • correction d’un bug dans le formulaire de redirection d’article (3.1)
  • correction d’un bug qui générait une erreur lors de l’utilisation de l’API SQL dans un formulaire CVT si l’utilisateur n’est pas connecté (3.1)
  • correction d’un bug qui empêchait l’affichage de la barre des raccourcis lors de l’édition en plein écran (3.1)
  • correction d’un bug graphique dans le formulaire de configuration de la boite multimédia (mediabox) (3.1)
  • simplification du message explicatif dans le formulaire de forum lorsque toutes les extensions de ficheirs sont autorisées (3.1)
  • correction d’un bug qui affichait un message d’erreur inadapté lors du référencement automatique d’un site syndiqué (3.1)
  • amélioration de la compatibilité ascendante pour le pipeline jqueryui_plugins (3.1)
  • amélioration des squelettes par défaut pour prise en charge des #LOGO_xxx{left} ou #LOGO_xxx{right}(3.1)
  • correction d’un bug graphique sur le formulaire permettant d’éditer l’url d’un objet (3.1)
  • correction d’un bug sur l’invalidation du find_in_path qui détériorait la performance (3.0 + 3.1)
  • correction d’un bug de dépendance lors de la première installation d’un plugin qui nécessitant un plugin du core (3.0 + 3.1)
  • correction d’un bug d’affichage de la prévisualisation des messages de forum dans l’espace privé (3.1)

Comment mettre à jour ?

N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :

1. par spip_loader.php (dernière version 2.5.5)

si vous avez déjà installé spip_loader,
rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP.

Attention cependant : lisez bien les instructions sur
http://www.spip.net/fr_download#spip_loader pour ne pas être
surpris par un passage non voulu de SPIP 2 à SPIP 3.

Tout savoir sur spip_loader :
http://www.spip.net/fr_article5705.html

2. par copie des fichiers

SPIP 3.0.21 est disponible à l’adresse http://files.spip.net/spip/stable/spip-3.0.zip

3.0 par SVN

Si vous êtes dans la branche 3.0 (svn ://trac.rezo.net/spip/branches/spip-3.0) faites simplement un
svn up

3.1 par SVN

Pour faire un test de la version 3.1
Vous pouvez également l’installer par SVN avec la commande :
svn co svn://trac.rezo.net/spip/spip

3.1 par spip_loader

En remplaçant
http://zone.spip.org/trac/spip-zone/browser/_outils_/spip_loader/trunk/spip_loader.php#L31
par :
define('_CHEMIN_FICHIER_ZIP', 'spip/dev/SPIP-svn.zip');

Comment être tenu au courant de ces annonces ?

Le plus simplement du monde en s’inscrivant sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux ne sont pas en reste :

Dernière modification de cette page le 7 novembre 2015

Retour en haut de la page
Chargement en cours...

Ça discute par ici

  • cibloc : mettre en forme le texte d’articles avec des blocs

    9 juillet – 14 commentaires

    Le plugin CIBLOC permet de mettre en forme le texte d’articles avec des blocs. Il offre des blocs, des colonnes, des icônes et des boutons. Les objectifs de ce plugin Le plugin CIBLOC offre des blocs, des colonnes, des icônes et des boutons : (...)

  • PHANTOM (HTML5UP)

    18 juillet – 12 commentaires

    Squelette SPIP pour intégrer le modèle Phantom de HTML5UP. https://html5up.net/phantom Installation A l’activation, le plugin installe aussi les plugins suivants : crayons, favicon, metasplus+, Couleur d’objet, champs extras, SPIP reset centre (...)

  • Titre de logo v2

    23 mai 2014 – 22 commentaires

    La version 2 du plugin Titre de logo reprend les mêmes fonctions que la v1 mais étend le titre et le descriptif aux logos de tout objet éditorial de SPIP. Vous pouvez toujours vous référer à l’article de la version 1 pour retrouver les fonctions (...)

  • Plugin Figures

    10 octobre 2017 – commentaires

    Modèles d’insertion des documents en HTML5, avec figure et figcaption. Envie d’utiliser HTML5 sur tout votre site, y compris les modèles d’insertion des documents de SPIP ? Aussitôt installé, ce plugin utilise les éléments HTML5 figure et figcaption (...)

  • SPIP 3.2, Agenda et FullCalendar

    6 juin – 21 commentaires

    Nous avions publié un article sur la manière d’utiliser FullCalendar avec SPIP 3.0 afin d’afficher des évènements sous forme d’Agenda. La version de FullCalendar a changé avec SPIP 3.2. Le présent article est donc un tutoriel adapté à SPIP 3.2. Pour (...)