SPIP 2.1.6 est sortie
Cette nouvelle version corrige divers problèmes de sécurité.
Ces bugs pouvaient permettre à un rédacteur du site de modifier la
configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).
Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours
pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.
La version 2.1.6 corrige aussi quelques petits soucis mineurs :
- sur la messagerie interne en cas de l’absence du plugin « champs extras ».
- l’info de mise à jour pouvait indiquer plusieurs nouvelles versions de SPIP
- des erreurs de compilation ne s’affichaient plus
- utilisation de LIKE en SQLite
- année 0000 en Postgresql
- amélioration de la détection de l’existence d’une table
- gestion d’un champ titre générique pour les urls
Comment mettre à jour ?
Comme d’habitude, plusieurs possibilités pour la mise à jour :
- l’écran de sécurité ; si vous n’avez pas le temps de faire tout de
suite une mise à jour complète, vous pouvez sécuriser en deux minutes
votre site en téléchargeant la version 0.9.4 de l’écran de sécurité,
et en la déposant dans votre répertoire config/
-
par spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
installer SPIP 2.1.6 -
par FTP : SPIP 2.1.6 est disponible à l’adresse
- et bien sûr par SVN ; si vous êtes dans la branche
- svn://trac.rezo.net/spip/branches/spip-2.1 faites simplement svn up
La version 2.1.6 est aussi disponible sous la branche
- svn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag - svn://trac.rezo.net/spip/tags/spip-2.1.6/