Bonjour à tous,
Un certain nombre de trous de sécurité ont été découverts
dans toutes les versions récentes de SPIP. Ils concernent :
- le formulaire de login public et privé
- le calcul des pages publiques
- les préférences avancées définies dans inc_version.php3
En conséquence, une version 1.5.2 corrigeant ces failles
est sortie. Nous vous recommandons vivement de mettre à
jour votre version de SPIP. Utilisez pour cela la procédure
habituelle (installation automatique ou manuelle depuis
http://rezo.net/spip-dev/).
D'autre part cette version corrige une incompatibilité
connue avec Apache 2 (due à un bug d'Apache 2 et PHP).
En cas de problèmes imprévus avec cette version, n'hésitez
pas à vous exprimer sur la liste des utilisateurs
(spip@rezo.net).
Nota Bene : les webmestres ayant installé une version de
développement (1.6) sont quant à eux invités à passer
à la dernière version (1.6a5), qui corrige également
les problèmes suscités.
Mille mercis à Florent Jugla, amateur de gruyère émérite,
qui a découvert les trous.
A bientôt
l'équipe de SPIP.