Mise à jour de maintenance et sécurité : sortie de SPIP 4.2.3, SPIP 4.1.10

Ces nouvelles versions améliorent la sécurité et corrigent certains bugs.

Annonce complète et détails

Télécharger SPIP

la je craque !
après avoir mis à jour avec plus ou moins de transpiration 70 sites en plusieurs versions passés en 3.2.19, 4.1.9 et 4.2.2 avec tous les correctifs, changement de plugin (pas à jour), bidouilles, sauvegardes, etc…
j’ai téléchargé par FTP 70 fois l’écran en 1.5.1 car les mises à jour en chargeaient une version plus ancienne, recommencé 70 fois il y à une semaine pour la version 1.5.2 et hier pour la version 1.5.3 et voici qu’il faut recommencer pour les 4.2.3 et 4.1.10 et modifier 70 htaccess qui ont des ajouts : redirection 301, url réécrite et autres instructions + les tests
alors la oui je craque !
je comprend bien que c’est (très) important mais ça représente un boulot considérable et mes clients se posent des questions sur la sécurité (et moi avec) et je ne peux pas les facturer en permanence
ceci dit j’ai 16 Wordpress qui se mettent à jour tout seul extensions y compris et pratiquement sans clash

bon je reste calme car j’aime Spip
bon courage à tous
Natacha

Complètement d’accord. J’ai aussi l’impression de ne plus faire que ça et c’est vraiment pas le plus intéressant.

Bah on peut aussi laisser les bugs et ne plus releaser, ça serait plus facile pour nous aussi !

Les questions de sécurité ont raison d’être posées. On essaie d’améliorer le code progressivement du logiciel, et on fait avec les moyens du bord. Il est évident que nous n’avons pas les moyens considérables de Wordpress !

Maintenant il nous semble plus important d’avoir les releases fréquentes que l’inverse, histoire que les corrections de bugs arrivent rapidement sur les sites à jour.

@Natacha_Courcelles & @gild rien ne vous oblige à faire ces mises à jour, la politique de l’autruche est la solution qu’il vous faut

Plus sérieusement, corriger les failles de sécurité demande un travail considérable à l’équipe avant tout, et si des clients de prestataires ne comprennent pas que des mises à jour de leur outils par des prestas sont bénéfiques pour leurs sites, alors c’est que le presta n’a pas bien expliqué son job.

J’ai plutôt l’impression qu’au départ Natacha dit tout le contraire, que c’est indispensable et que c’est du boulot à produire.

Bonjour,

Effectivement passer sur des dizaines de sites peut être long. Il existe un script (Utiliser spip_loader - SPIP) pour faciliter cela. Personnellement je ne l’ai jamais utilisé car je préfères utiliser la ligne de commande ce qui ne me prends pas beaucoup de temps puisque je n’ai qu’un seul site. Toutefois, même dans ce cas cela pourrait être scripté si besoin.

Bonnes mises à jour.

Merci gild

merci de ne pas mal prendre mes propos
vous faites tous du super boulot, la n’est pas la question

Désolé, sincèrement.

Lorsqu’on découvre une faille de sécurité, on ne peut pas se permettre de traîner. C’est encore plus urgent quand elle est signalée par un tiers…

Je ne sais pas pourquoi, c’est peut-être une histoire de loi de Murphy, ou de loi des séries, mais en général, il y a une longue période de calme, suffisante pour qu’on (mainteneureuses, utilisateurices) baisse la garde. Et soudain, paf, une série… et on a le sentiment qu’on n’en verra jamais la fin… ça met nos nerfs à rude épreuve

Je n’ai pas oublié la fin d’année 2005, SPIP 1.8.2 : un gars nous signalait une faille à la fois, je ne sais plus combien de fois on a du releaser en quelques jours, 6 ou 7 fois je crois …

Ce n’est qu’un logiciel, mais merci pour lui

et au fait, qu’en est il de la version 3.2.19 + écran 1.5.3 ??

car faut pas rêver j’en ai encore plein en 3.2 , des clients pauvres qui rechignent à refondre même partiellement et en ce moment c’est pire entre ceux qui n’ont pas d’argent (la crise) et ceux qui repoussent à plus tard (trop de boulot, pas le temps) … c’est pas gagné le passage en 4.2 !!

merci encore pour tout votre travail que je ne remet absolument pas en cause
Natacha

SPIP3.2 n’est plus maintenue. Et la version 3.2.19 n’est pas impactée par ce que corrige l’écran de sécurité 1.5.3. Une mise à jour manuelle de l’écran peut toutefois être effectuée

ce qui veut dire ??

Tu peux éventuellement mettre partiellement à jour son fichier htaccess (si tu déploies en GIT), sinon ça a peu d’importance ; pour le reste rien de changé : nous ne maintenons plus cette version, tout comme nous ne maintenons plus la version 4.0 non plus.

La dernière version d’une branche X est maintenue plus longtemps que les autres, cela a été le cas pour SPIP 3.2 , et ce sera le cas pour la 4.2.

Autrement dit, il n’y aura plus de nouvelles version releasé par nos soins pour SPIP 3.2, ni de sécurité, ni de correction de bug.

Ça veut dire qu’à notre connaissance, et jusqu’à preuve du contraire, SPIP 3.2.19 peut être considérée comme sécurisée. Que, toute instance SPIP d’une version antérieure devrait être au moins mise à jour en 3.2.19. Plus si possible, mais nous comprenons bien les enjeux…

Pour celles et ceux qui peuvent passer en SPIP4, c’est au minimum en 4.1.10 qu’il faut faire la mise à jour, sachant que 4.1 aussi à une date de fin de vie planifiée (23 août 2023, c’est bientôt). Si l’ensemble des plugins utilisés est compatible SPIP4.2, alors c’est vers une 4.2.3 qu’il faut mettre à jour.

Comme c’était annoncé le 28 février dans Mise à jour : sortie de SPIP 4.2.2, SPIP 4.1.9, SPIP 4.0.11 et SPIP 3.2.19 - SPIP Blog

Les versions SPIP 4.0 et antérieures ne sont plus maintenues.
Exceptionnellement nous proposons quand même de nouvelles versions dans ces branches pour corriger ce petit bug. Nous vous recommandons toutefois de mettre à jour votre SPIP dans une version maintenue dès que possible.

je le redis
ce n’est pas moi qui veut pas, ce sont mes clients !! pas de budgets en ce moment !
sinon j’aurai du boulot pour 2 / 3 ans
faut se battre à chaque fois et même avec les arguments de sécurité et de non suivi ce n’est pas gagné
je fais des cadeaux sur le prix ! voila ou j’en suis réduite
donc les 3.2.19 ne sont pas prêt d’être passé en 4.3 vu le travail derrière pour le faire car la plupart de mes squelettes clients sont créé à la main et il y a du taf
ça se fait mais lentement le temps aussi que les plugins suivent

À toutes et tous, si vous êtes coincés avec des plugins réputés non-compatibles SPIP4.2, faites-le savoir… Ce truc de compatiblité SPIP à un historique avec lequel on doit composer, hélas. Mais en général, un plugin compatible 4.1 est aussi compatible avec SPIP4.2, il n’y qu’une borne à changer dans le fichier paquet.xml dudit plugin.

Plus nous sommes nombreuses et nombreux à faire ce simple test, quand l’occasion se présente (et là bon… ok, j’imagine que c’est pas toutes les 5 minutes) plus la liste de plugins compatibles se rallonge vite. Si le test est infructueux, nous le signaler a minima dans un topic dédié sur ce forum aidera, et c’est mieux en faisant un ticket dans le dépôt git du plugin, pour celles et ceux qui savent le faire.

Je rencontre la même problématique que Natacha : client trop pauvres pour changer de branche.
Et depuis quelques temps, Spip va trop vite pour moi.

À une nuance près :

• Je ne rencontre pas de soucis pour mettre à jour Spip dans une même branche (vive les fermes à Spip !).
• Par contre, je viens tout juste de passer les 50% de sites en 4.0 et je commence à développer sur du 4.1. (pour des mises à jour, il manque toujours plusieurs plugins).

Je trouve que la vitesse de croisière prise pour l’évolution du noyau ne prend pas en compte la petitesse de la communauté Spip. J’aimerai bien qu’on ralentisse dans les versions suivantes.

Comme précisé par @JamesRezo, les plugins compatibles pour SPIP 4.x sont généralement compatibles 4.2 et, si certains ne le sont pas, faire remonter aux devs. Aussi, l’idéal est de limiter les plugins aux besoins indispensables (pas de fioritures, principe KISS ) et préférer les « principaux » plugins utilisés par la communauté et donc « mieux » maintenus pour éviter de rester coincé·es.

Amha, il vaut mieux toujours développer sur la dernière version stable.