ou peu t'on trouver les versions spip qui avais une faille sécu

22677b9b7f977d698ae0 · Janvier 14, 2019, 7:30

En partant de cette simple question qui n'a pas eu de réponse , car je voulais afficher un truc pour les utilisateurs d'escal sous mauvaise version spip

je me suis penché sur trois sites et une liste

https://www.spip.net/fr_article4449.html

https://listes.rezo.net/mailman/listinfo/spip-ann

et bien je vous jure c'est vraiment pas clair dans ma tête ....

<spipfactory> ou peu t'on trouver les versions spip qui avais une faille sécu
<spipfactory> je voudrais mettre a jour les versions incriminés

toutes sauf les dernières des branches maintenues spipfactory

<spipfactory> hummm 2.1.30 https://www.spip.net/fr_article4449.html
<spipfactory> la 3.2.1 n'est pas listé
<spipfactory> bon l'article je le pige pas
<spipfactory> si je dis ça je suis bon ou pas : versions SPIP stable sans faille de sécurité : 3.2.1 - 3.2.0 - 3.1.7 - 3.0.26 - 2.1.30
<spipfactory> je me suis basé sur l'article
<spipfactory> pas vraiment car il parle de 3.1.8, 3.0.27 alors que spip.net parle de 3.1.7 et 3.0.26 , ceci etant je suis peu etre nul en compréhension
<spipfactory> de ce que je comprend 3.0 n'est plus maintenu sauf en terme de secu ...
<spipfactory> d'aprés 3,2,1... Partez ! Mise à jour de maintenance : sortie de SPIP 3.2.1, SPIP (…) - SPIP Blog
<spipfactory> par deduction je me dis 2.1.30 également ou je deduis mal ....
<spipfactory> bref c'est pas clair dans ma tête avec tous les articles
<spipfactory> quel différence entre une branche maintenu et une branche stable ?

maintenue = corrigée et mise à jour , stable = aux fonctionnalités à peu prés figées

<spipfactory> oki
<spipfactory> de tote maniéres la références c'est spip blog
<spipfactory> vu que spip annonce renvoie sur spip blog
<spipfactory> pour faire simple faut être en 3.2.1
<spipfactory> allez j'arrette de me prendre la tête

--

----
En répondant a ce courriel vous acceptez implicitement la diffusion, l'échange de la conversation, sauf avis contraire clairement exprimé.

klaus · Janvier 15, 2019, 2:11

https://files.spip.org/spip/archives/

On 14.01.19 20:30, teamspipfactory@gmail.com wrote:

En partant de cette simple question qui n'a pas eu de réponse , car je
voulais afficher un truc pour les utilisateurs d'escal sous mauvaise
version spip

je me suis penché sur trois sites et une liste

https://www.spip.net/fr_article4449.html

3,2,1... Partez ! Mise à jour de maintenance : Sortie de SPIP 3.2.1, SPIP 3.1.8 et SPIP 3.0.27 - SPIP-Contrib

3,2,1... Partez ! Mise à jour de maintenance : sortie de SPIP 3.2.1, SPIP (…) - SPIP Blog

https://listes.rezo.net/mailman/listinfo/spip-ann

et bien je vous jure c'est vraiment pas clair dans ma tête ....

<spipfactory> ou peu t'on trouver les versions spip qui avais une
faille sécu
<spipfactory> je voudrais mettre a jour les versions incriminés

toutes sauf les dernières des branches maintenues spipfactory

<spipfactory> hummm 2.1.30 https://www.spip.net/fr_article4449.html
<spipfactory> la 3.2.1 n'est pas listé
<spipfactory> bon l'article je le pige pas
<spipfactory> si je dis ça je suis bon ou pas : versions SPIP stable
sans faille de sécurité : 3.2.1 - 3.2.0 - 3.1.7 - 3.0.26 - 2.1.30
<spipfactory> je me suis basé sur l'article
<spipfactory> pas vraiment car il parle de 3.1.8, 3.0.27 alors que
spip.net parle de 3.1.7 et 3.0.26 , ceci etant je suis peu etre nul en
compréhension
<spipfactory> de ce que je comprend 3.0 n'est plus maintenu sauf en
terme de secu ...
<spipfactory> d'aprés
3,2,1... Partez ! Mise à jour de maintenance : sortie de SPIP 3.2.1, SPIP (…) - SPIP Blog

<spipfactory> par deduction je me dis 2.1.30 également ou je deduis
mal ....
<spipfactory> bref c'est pas clair dans ma tête avec tous les articles
<spipfactory> quel différence entre une branche maintenu et une
branche stable ?

maintenue = corrigée et mise à jour , stable = aux fonctionnalités à
peu prés figées

<spipfactory> oki
<spipfactory> de tote maniéres la références c'est spip blog
<spipfactory> vu que spip annonce renvoie sur spip blog
<spipfactory> pour faire simple faut être en 3.2.1
<spipfactory> allez j'arrette de me prendre la tête

22677b9b7f977d698ae0 · Janvier 15, 2019, 7:41

merci klaus

mais la tu me donne les archives de spip , page que j'avais oubliés

d'ailleurs rien ne permet de connaitre les spip ayant une faille de secu

je comprend tout a fais qu'on ne diffuse pas ce truc

Le 15/01/2019 à 15:11, klaus++ a écrit :

SPIP-Contrib

On 14.01.19 20:30, teamspipfactory@gmail.com wrote:

En partant de cette simple question qui n'a pas eu de réponse , car je
voulais afficher un truc pour les utilisateurs d'escal sous mauvaise
version spip

je me suis penché sur trois sites et une liste

https://www.spip.net/fr_article4449.html

3,2,1... Partez ! Mise à jour de maintenance : Sortie de SPIP 3.2.1, SPIP 3.1.8 et SPIP 3.0.27 - SPIP-Contrib

3,2,1... Partez ! Mise à jour de maintenance : sortie de SPIP 3.2.1, SPIP (…) - SPIP Blog

https://listes.rezo.net/mailman/listinfo/spip-ann

et bien je vous jure c'est vraiment pas clair dans ma tête ....

<spipfactory> ou peu t'on trouver les versions spip qui avais une
faille sécu
<spipfactory> je voudrais mettre a jour les versions incriminés
toutes sauf les dernières des branches maintenues spipfactory
<spipfactory> hummm 2.1.30 https://www.spip.net/fr_article4449.html
<spipfactory> la 3.2.1 n'est pas listé
<spipfactory> bon l'article je le pige pas
<spipfactory> si je dis ça je suis bon ou pas : versions SPIP stable
sans faille de sécurité : 3.2.1 - 3.2.0 - 3.1.7 - 3.0.26 - 2.1.30
<spipfactory> je me suis basé sur l'article
<spipfactory> pas vraiment car il parle de 3.1.8, 3.0.27 alors que
spip.net parle de 3.1.7 et 3.0.26 , ceci etant je suis peu etre nul en
compréhension
<spipfactory> de ce que je comprend 3.0 n'est plus maintenu sauf en
terme de secu ...
<spipfactory> d'aprés
3,2,1... Partez ! Mise à jour de maintenance : sortie de SPIP 3.2.1, SPIP (…) - SPIP Blog

<spipfactory> par deduction je me dis 2.1.30 également ou je deduis
mal ....
<spipfactory> bref c'est pas clair dans ma tête avec tous les articles
<spipfactory> quel différence entre une branche maintenu et une
branche stable ?
maintenue = corrigée et mise à jour , stable = aux fonctionnalités à
peu prés figées
<spipfactory> oki
<spipfactory> de tote maniéres la références c'est spip blog
<spipfactory> vu que spip annonce renvoie sur spip blog
<spipfactory> pour faire simple faut être en 3.2.1
<spipfactory> allez j'arrette de me prendre la tête

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

--

----
En répondant a ce courriel vous acceptez implicitement la diffusion, l'échange de la conversation, sauf avis contraire clairement exprimé.

RealET · Janvier 15, 2019, 10:23

teamspipfactory@gmail.com a écrit le 15/01/2019 à 20:41 :

merci klaus

mais la tu me donne les archives de spip , page que j'avais oubliés

d'ailleurs rien ne permet de connaitre les spip ayant une faille de secu

je comprend tout a fais qu'on ne diffuse pas ce truc

Pratiquement toutes les nouvelles versions de SPIP sont une release de sécurité.
Donc, seules les dernières versions d'une branche encore maintenue sont sans faille connues.
Donc, il faut être à jour de la dernière version dans sa branche pour ne pas avoir de faille connue.

Et c'est sur SPIP contrib que sont postées les annonces :

--
RealET

22677b9b7f977d698ae0 · Janvier 16, 2019, 8:51

Merci realet pour ton aide

je connais cettte page puisque je l'indique dans le message d'origine

mais si on enlève au fur et a mesure des portions de texte, les réponses finisse par ne plus correspondre a la question

toutefois j'avais bien compris que la derniére et a jour.

mais dans le message d'origine je dit bien que les différentes page de doc oofficiel sont contradictoire au niveau des versions

on parle même de la 2

Le 15/01/2019 à 23:23, RealET a écrit :

teamspipfactory@gmail.com a écrit le 15/01/2019 à 20:41 :

merci klaus

mais la tu me donne les archives de spip , page que j'avais oubliés

d'ailleurs rien ne permet de connaitre les spip ayant une faille de secu

je comprend tout a fais qu'on ne diffuse pas ce truc

Pratiquement toutes les nouvelles versions de SPIP sont une release de sécurité.
Donc, seules les dernières versions d'une branche encore maintenue sont sans faille connues.
Donc, il faut être à jour de la dernière version dans sa branche pour ne pas avoir de faille connue.

Et c'est sur SPIP contrib que sont postées les annonces :
3,2,1... Partez ! Mise à jour de maintenance : Sortie de SPIP 3.2.1, SPIP 3.1.8 et SPIP 3.0.27 - SPIP-Contrib

--

----
En répondant a ce courriel vous acceptez implicitement la diffusion, l'échange de la conversation, sauf avis contraire clairement exprimé.

klaus · Janvier 16, 2019, 1:34

Salut,

il faut tenir à jour la version SPIP de son site.

Dans ma perspective les informations sur www.spip.net sont toujours
valables pour toutes les versions sauf quand il est indiqué qu'une
fonction a été introduite avec une version particulière ou a été
abandonnée à partir d'une version spécifiée.

Ce n'est pas toujours vrai à 100 pour cent, ce qui est dû au fait que la
défintion de dev et d'utilisateur a changé avec le temps.

La doc sur www.spip.net est censée s'adresser aux utilisateurs qui dans
le temps s'intéressaient beaucoup aux questions qui aujourd'hui ne
concernent plus que les webmestres et développeurs.

Moi, quand j'ai une question je me réfère d'abord à

Ensuite c'est le tour de

et parfois de
https://code.spip.net/

Si ce n'est pas concluant je pose ma question dans la liste appropriée
(spip, spip-zone, spip-dev. spip-trad) ou je prend contact avec les devs
par http://irc.spip.net

Pour moi il est évident de faire le ménage dans le site en question
avant de m'adresser à la communauté. Je fais une copie de sauvgarde, je
met à jour tout ce que je peux, j'identifie les parties de code qui ont
été introduites ou modifiées par d'autres webmestres et qui ne sont donc
pas documentées etc.

Ce faisant j'identifie la version de SPIP, des plugins et bibliothèques
installés ce qui m'évite de poser des questions inutiles. En général
c'est déjà suffisant pour resoudre toutes mes questions.

En ce qui concerne le failles de sécurité je serais intéressé par une
liste des outils de pentesting php disponibles en ligne.

Je pars du principe que je peux faire confiance aux core-dev, que la
plupart des failes de sécurité sont le résultat d'une mauvaise
configuration du serveur, du code sur mesure et des problèmes de php en
général. Alors j'essaie d'écrire le moins de code possible et je me
concentre plutôt sur la gestion de mon serveur.

Bref, développer un site sous SPIP c'est peinard.

Vous me suivez ?

:-)k++

On 16.01.19 09:51, teamspipfactory@gmail.com wrote:

mais dans le message d'origine je dit bien que les différentes page de
doc oofficiel sont contradictoire au niveau des versions

on parle même de la 2

22677b9b7f977d698ae0 · Janvier 19, 2019, 10:38

je suis content cr je comprend mieux avec

Mise à jour de sécurité et maintenance : sortie de SPIP 3.2.2, 3.1.9 et 3.0.28 - SPIP Blog

reste la 3.0 qui me semble flou ?

Le 16/01/2019 à 14:34, klaus++ a écrit :

Salut,

il faut tenir à jour la version SPIP de son site.

Dans ma perspective les informations sur www.spip.net sont toujours
valables pour toutes les versions sauf quand il est indiqué qu'une
fonction a été introduite avec une version particulière ou a été
abandonnée à partir d'une version spécifiée.

Ce n'est pas toujours vrai à 100 pour cent, ce qui est dû au fait que la
défintion de dev et d'utilisateur a changé avec le temps.

La doc sur www.spip.net est censée s'adresser aux utilisateurs qui dans
le temps s'intéressaient beaucoup aux questions qui aujourd'hui ne
concernent plus que les webmestres et développeurs.

Moi, quand j'ai une question je me réfère d'abord à
Glossaire - SPIP

Ensuite c'est le tour de
http://programmer.spip.net
et parfois de
https://code.spip.net/

Si ce n'est pas concluant je pose ma question dans la liste appropriée
(spip, spip-zone, spip-dev. spip-trad) ou je prend contact avec les devs
par http://irc.spip.net

Pour moi il est évident de faire le ménage dans le site en question
avant de m'adresser à la communauté. Je fais une copie de sauvgarde, je
met à jour tout ce que je peux, j'identifie les parties de code qui ont
été introduites ou modifiées par d'autres webmestres et qui ne sont donc
pas documentées etc.

Ce faisant j'identifie la version de SPIP, des plugins et bibliothèques
installés ce qui m'évite de poser des questions inutiles. En général
c'est déjà suffisant pour resoudre toutes mes questions.

En ce qui concerne le failles de sécurité je serais intéressé par une
liste des outils de pentesting php disponibles en ligne.

Je pars du principe que je peux faire confiance aux core-dev, que la
plupart des failes de sécurité sont le résultat d'une mauvaise
configuration du serveur, du code sur mesure et des problèmes de php en
général. Alors j'essaie d'écrire le moins de code possible et je me
concentre plutôt sur la gestion de mon serveur.

Bref, développer un site sous SPIP c'est peinard.

Vous me suivez ?

:-)k++

On 16.01.19 09:51, teamspipfactory@gmail.com wrote:

mais dans le message d'origine je dit bien que les différentes page de
doc oofficiel sont contradictoire au niveau des versions

on parle même de la 2

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

--

----
En répondant a ce courriel vous acceptez implicitement la diffusion, l'échange de la conversation, sauf avis contraire clairement exprimé.

JLuc · Janvier 19, 2019, 11:16

Le 19/01/2019 à 11:38, teamspipfactory@gmail.com a écrit :

Mise à jour de sécurité et maintenance : sortie de SPIP 3.2.2, 3.1.9 et 3.0.28 - SPIP Blog

reste la 3.0 qui me semble flou ?

Dés le début je t'ai indiqué ce qui compte
seules les versions maintenues ont leurs failles sécurisées.
(comment pourrait il en être autrement ? c'est une tautologie)

Là tu as devant tes yeux mêmes, et tu cites le lien,
l'annonce de la sortie d'une nouvelle release de la 3.0
qualifiée de "mise à jour de sécurité et maintenance"...
alors s'il y a du flou là, c'est pas dans SPIP.

JLuc

Le 16/01/2019 à 14:34, klaus++ a écrit :

Salut,

il faut tenir à jour la version SPIP de son site.

Dans ma perspective les informations sur www.spip.net sont toujours
valables pour toutes les versions sauf quand il est indiqué qu'une
fonction a été introduite avec une version particulière ou a été
abandonnée à partir d'une version spécifiée.

Ce n'est pas toujours vrai à 100 pour cent, ce qui est dû au fait que la
défintion de dev et d'utilisateur a changé avec le temps.

La doc sur www.spip.net est censée s'adresser aux utilisateurs qui dans
le temps s'intéressaient beaucoup aux questions qui aujourd'hui ne
concernent plus que les webmestres et développeurs.

Moi, quand j'ai une question je me réfère d'abord à
Glossaire - SPIP

Ensuite c'est le tour de
http://programmer.spip.net
et parfois de
https://code.spip.net/

Si ce n'est pas concluant je pose ma question dans la liste appropriée
(spip, spip-zone, spip-dev. spip-trad) ou je prend contact avec les devs
par http://irc.spip.net

Pour moi il est évident de faire le ménage dans le site en question
avant de m'adresser à la communauté. Je fais une copie de sauvgarde, je
met à jour tout ce que je peux, j'identifie les parties de code qui ont
été introduites ou modifiées par d'autres webmestres et qui ne sont donc
pas documentées etc.

Ce faisant j'identifie la version de SPIP, des plugins et bibliothèques
installés ce qui m'évite de poser des questions inutiles. En général
c'est déjà suffisant pour resoudre toutes mes questions.

En ce qui concerne le failles de sécurité je serais intéressé par une
liste des outils de pentesting php disponibles en ligne.

Je pars du principe que je peux faire confiance aux core-dev, que la
plupart des failes de sécurité sont le résultat d'une mauvaise
configuration du serveur, du code sur mesure et des problèmes de php en
général. Alors j'essaie d'écrire le moins de code possible et je me
concentre plutôt sur la gestion de mon serveur.

Bref, développer un site sous SPIP c'est peinard.

Vous me suivez ?

:-)k++

On 16.01.19 09:51, teamspipfactory@gmail.com wrote:

mais dans le message d'origine je dit bien que les différentes page de
doc oofficiel sont contradictoire au niveau des versions

on parle même de la 2

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

22677b9b7f977d698ae0 · Janvier 19, 2019, 12:03

je le savais je le savais que j'avais des neuronnes de cramé

:-* a tous ...

Le 19/01/2019 à 12:16, JLuc a écrit :

Le 19/01/2019 à 11:38, teamspipfactory@gmail.com a écrit :

Mise à jour de sécurité et maintenance : sortie de SPIP 3.2.2, 3.1.9 et 3.0.28 - SPIP Blog

reste la 3.0 qui me semble flou ?

Dés le début je t'ai indiqué ce qui compte
seules les versions maintenues ont leurs failles sécurisées.
(comment pourrait il en être autrement ? c'est une tautologie)

Là tu as devant tes yeux mêmes, et tu cites le lien,
l'annonce de la sortie d'une nouvelle release de la 3.0
qualifiée de "mise à jour de sécurité et maintenance"...
alors s'il y a du flou là, c'est pas dans SPIP.

JLuc

Le 16/01/2019 à 14:34, klaus++ a écrit :

Salut,

il faut tenir à jour la version SPIP de son site.

Dans ma perspective les informations sur www.spip.net sont toujours
valables pour toutes les versions sauf quand il est indiqué qu'une
fonction a été introduite avec une version particulière ou a été
abandonnée à partir d'une version spécifiée.

Ce n'est pas toujours vrai à 100 pour cent, ce qui est dû au fait que la
défintion de dev et d'utilisateur a changé avec le temps.

La doc sur www.spip.net est censée s'adresser aux utilisateurs qui dans
le temps s'intéressaient beaucoup aux questions qui aujourd'hui ne
concernent plus que les webmestres et développeurs.

Moi, quand j'ai une question je me réfère d'abord à
Glossaire - SPIP

Ensuite c'est le tour de
http://programmer.spip.net
et parfois de
https://code.spip.net/

Si ce n'est pas concluant je pose ma question dans la liste appropriée
(spip, spip-zone, spip-dev. spip-trad) ou je prend contact avec les devs
par http://irc.spip.net

Pour moi il est évident de faire le ménage dans le site en question
avant de m'adresser à la communauté. Je fais une copie de sauvgarde, je
met à jour tout ce que je peux, j'identifie les parties de code qui ont
été introduites ou modifiées par d'autres webmestres et qui ne sont donc
pas documentées etc.

Ce faisant j'identifie la version de SPIP, des plugins et bibliothèques
installés ce qui m'évite de poser des questions inutiles. En général
c'est déjà suffisant pour resoudre toutes mes questions.

En ce qui concerne le failles de sécurité je serais intéressé par une
liste des outils de pentesting php disponibles en ligne.

Je pars du principe que je peux faire confiance aux core-dev, que la
plupart des failes de sécurité sont le résultat d'une mauvaise
configuration du serveur, du code sur mesure et des problèmes de php en
général. Alors j'essaie d'écrire le moins de code possible et je me
concentre plutôt sur la gestion de mon serveur.

Bref, développer un site sous SPIP c'est peinard.

Vous me suivez ?

:-)k++

On 16.01.19 09:51, teamspipfactory@gmail.com wrote:

mais dans le message d'origine je dit bien que les différentes page de
doc oofficiel sont contradictoire au niveau des versions

on parle même de la 2

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

--

----
En répondant a ce courriel vous acceptez implicitement la diffusion, l'échange de la conversation, sauf avis contraire clairement exprimé.