[spip-dev] SPIP 3.0.3, 2.1.16 et 2.0.21 : à l'étape 303, épate-la

Dev
1

Bonjour,
une faille CRITIQUE nous a été signalée, elle concerne les branches
2.0, 2.1 et 3.0. Nous vous encourageons à mettre à jour RAPIDEMENT
vos sites SPIP, ou à défaut à les protéger au moyen de l’écran de sécurité.

Les autres changements apportés à la version 3.0.3 :

  • Amélioration des performances sous SQLite
  • Correction d’un bug sur la modification de l’email par un redacteur
  • Petit changement d’ergonomie dans l’interface d’amdinistration des
    plugins afin de mettre plus en avant les plugins activables

L’utilisation de l’écran de sécurité mis à jour protège de toutes
les failles qui nous ont été signalées dans toutes les versions
de SPIP. Vous êtes encouragés à télécharger la version la plus récente
de l’écran de sécurité (1.1.3 du 03 juillet 2012) et à la déposer dans votre
répertoire config/ (cf. http://www.spip.net/fr_article4200.html).

Toutefois, si vous avez la possibilité, nous vous recommandons
fortement de mettre à jour SPIP avec les nouvelles versions.
N’hésitez pas à utiliser les différents moyens mis à disposition
par la communauté pour obtenir de l’aide lors de cette
mise à jour :

Nous rappelons à toutes et tous que le meilleur moyen
pour signaler des failles, ou des suspicions de failles est
d’envoyer un email à spip-team@rezo.net. C’est ce qu’Arnault
a fait et nous le remercions.

Comment mettre à jour ?

  1. par spip_loader.php : si vous avez déjà installé spip_loader,
    rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php
    pour installer la dernière version de SPIP.
    Attention cependant : lisez bien les instructions ici :
    http://www.spip.net/fr_download#spip_loader pour ne pas
    être surpris par un passage non voulu de SPIP2 à SPIP3

  2. par copie des fichiers : SPIP 3.0.3 est disponible à
    l’adresse http://files.spip.org/spip/stable/spip-3.0.zip

  3. par SVN : si vous êtes dans la branche 3 faites
    simplement un « svn up » svn://trac.rezo.net/spip/branches/spip-3.0
    la version 3.0.3 est aussi disponible sous
    la branche : svn://trac.rezo.net/spip/branches/spip-3-stable
    et sous le tag svn://trac.rezo.net/spip/tags/spip-3.0.3

Les versions 2.0.21 et 2.1.16 sont téléchargeables ici :
http://files.spip.org/spip/archives/

Post Scriptum :

2

pour info (parce que la demande viendra forcément...)

liste des fichiers impactés entre 3.0.2 et 3.0.3

core

CHANGELOG.txt
config/ecran_securite.php
ecrire/auth/ldap.php
ecrire/auth/spip.php
ecrire/base/connect_sql.php
ecrire/base/trouver_table.php
ecrire/inc/admin.php
ecrire/inc/auth.php
ecrire/inc/distant.php
ecrire/inc/documents.php
ecrire/inc/drapeau_edition.php
ecrire/inc/flock.php
ecrire/inc/minipres.php
ecrire/inc/plugin.php
ecrire/inc/session.php
ecrire/inc/urls.php
ecrire/inc/utils.php
ecrire/inc_version.php
ecrire/iterateur/sql.php
ecrire/lang/ecrire_fr.php
ecrire/public/assembler.php
ecrire/public/compiler.php
ecrire/public/iterateur.php
ecrire/req/mysql.php
ecrire/req/sqlite_generique.php
htaccess.txt
prive/formulaires/dateur/inc-dateur.html
prive/formulaires/dateur/jquery.dateur.js.html
prive/formulaires/selecteur/generique.html
prive/formulaires/selecteur/jquery-ui-1.8.custom.js
prive/formulaires/selecteur/rubriques.html
prive/javascript/ajaxCallback.js
prive/squelettes/contenu/auteur.html
prive/squelettes/contenu/auteur_edit.html
prive/themes/spip/minipres.css

plugins-dist

plugins-dist/compresseur/lib/csstidy/README
plugins-dist/compresseur/lib/csstidy/class.csstidy.php
plugins-dist/compresseur/lib/csstidy/class.csstidy_ctype.php
plugins-dist/compresseur/lib/csstidy/class.csstidy_print.php
plugins-dist/compresseur/lib/csstidy/data.inc.php
plugins-dist/compresseur/lib/csstidy/testing/unit-tests/class.csstidy_reporter.php
plugins-dist/compresseur/lib/csstidy/testing/unit-tests/csst/print-plain/atvalues.csst
plugins-dist/compresseur/lib/csstidy/testing/unit-tests/csst/print-plain/font-face-atmedia-2.csst
plugins-dist/compresseur/lib/csstidy/testing/unit-tests/csst/special/font-face-atmedia-2.csst
plugins-dist/compresseur/paquet.xml

plugins-dist/forum/action/instituer_forum.php
plugins-dist/forum/formulaires/gestion_forum.html
plugins-dist/forum/formulaires/inc-login_forum.html
plugins-dist/forum/inc/email_notification_forum.php
plugins-dist/forum/lang/forum_fr.php
plugins-dist/forum/prive/squelettes/navigation/controler_forum.html
plugins-dist/forum/paquet.xml

plugins-dist/medias/action/ajouter_documents.php
plugins-dist/medias/action/editer_document.php
plugins-dist/medias/action/supprimer_document.php
plugins-dist/medias/base/medias.php
plugins-dist/medias/base/typedoc.php
plugins-dist/medias/formulaires/editer_document.html
plugins-dist/medias/formulaires/editer_document.php
plugins-dist/medias/inc/renseigner_document.php
plugins-dist/medias/medias_autoriser.php
plugins-dist/medias/paquet.xml

plugins-dist/statistiques/prive/squelettes/contenu/stats_referers.html
plugins-dist/statistiques/paquet.xml

plugins-dist/svp/action/actionner.php
plugins-dist/svp/formulaires/admin_plugin.php
plugins-dist/svp/inc/svp_actionner.php
plugins-dist/svp/inc/svp_depoter_distant.php
plugins-dist/svp/inc/svp_depoter_local.php
plugins-dist/svp/inc/svp_phraser.php
plugins-dist/svp/prive/style_prive_plugin_svp.html
plugins-dist/svp/paquet.xml

plugins-dist/urls_etendues/urls/simple.php
plugins-dist/urls_etendues/paquet.xml

liste des fichiers impactés entre 2.1.15 et 2.1.16

core

ecrire/inc/lien.php
ecrire/exec/auteurs.php
ecrire/inc/session.php
ecrire/exec/auteurs.php
ecrire/inc/autoriser.php
ecrire/base/connect_sql.php
ecrire/inc/drapeau_edition.php
ecrire/inc/session.php
ecrire/public/compiler.php
ecrire/inc_version.php

liste des fichiers impactés entre 2.0.20 et 2.0.21

core

ecrire/public/compiler.php
ecrire/inc_version.php