SPIP 2.1.6

SPIP 2.1.6 est sortie

Cette nouvelle version corrige divers problèmes de sécurité.

Ces bugs pouvaient permettre à un rédacteur du site de modifier la
configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).

Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours
pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.

La version 2.1.6 corrige aussi quelques petits soucis mineurs :

• sur la messagerie interne en cas de l’absence du plugin « champs extras ».
• l’info de mise à jour pouvait indiquer plusieurs nouvelles versions de SPIP
• des erreurs de compilation ne s’affichaient plus
• utilisation de LIKE en SQLite
• année 0000 en Postgresql
• amélioration de la détection de l’existence d’une table
• gestion d’un champ titre générique pour les urls

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité ; si vous n’avez pas le temps de faire tout de
   suite une mise à jour complète, vous pouvez sécuriser en deux minutes
   votre site en téléchargeant la version 0.9.4 de l’écran de sécurité,
   et en la déposant dans votre répertoire config/

• cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader,
   rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
   installer SPIP 2.1.6

3. par FTP : SPIP 2.1.6 est disponible à l’adresse

• http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; si vous êtes dans la branche

• svn://trac.rezo.net/spip/branches/spip-2.1 faites simplement svn up

La version 2.1.6 est aussi disponible sous la branche

• svn://trac.rezo.net/spip/branches/spip-2-stable/
  et le tag
• svn://trac.rezo.net/spip/tags/spip-2.1.6/