[spip-dev] Alerte : SPIP 2.0.25 / SPIP 2.1.26 / SPIP 3.0.16 sont gavées de soleil, mais n'oubliez pas la crême !

Dev
1

Bonjour,
c’est le printemps (ou presque) et pour l’occasion des nouvelles versions de SPIP gavées de soleil sont disponibles.

Ces version corrigent les failles suivantes :

  • SPIP 2.0 / SPIP 2.1 / SPIP 3.0 : une injection SQL (mineure car déjà protégée par l’écran de sécurité) mais corrigée néanmoins .
  • SPIP 3.0 : une faille de sécurité permettant un injection JS dans le privé (non prise en charge par l’écran de sécurité). Donc si vous acceptez l’inscription d’internautes comme rédacteurs dans l’espace privé, mettez en priorité à jour le plugin textwheel http://plugins.spip.net/tw.html
  • SPIP 2.0 / SPIP 2.1 / SPIP 3.0 : des messages de log qui montrent un tentative infructueuse d’injection (explications technique ici : http://core.spip.org/issues/3186 ).

Pour résumer : mettez à jour votre SPIP. Si toutefois vous ne pouvez pas, mettez à jour l’écran de sécurité (cf. http://www.spip.net/fr_article4200.html ) et le plugin textweel

Merci à Philippe, Michael et Christian de l’équipe Sécurité de PwC France, à Ybbet et aux utilisateurs de la liste spip-user.

Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

Bien sur ces versions ne comportent pas que des corrections de failles et apportent aussi leur petit lots de modifications :

N’hésitez pas à parcourir ces pages pour y découvrir ce qui a changé.

Si vous constatez des problèmes, pensez à les communiquer en rédigeant un « ticket » sur http://core.spip.org !

Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net .

Si le cœur vous en dit, vous pouvez dès à présent commencer à tester (sur un site de développement) cette nouvelle version 3.1: http://files.spip.org/spip/dev/SPIP-svn.zip

Bon SPIP !

L’équipe SPIP

Mise à jour