Seenthis
•
 
Identifiants personnels
  • [mot de passe oublié ?]

 

b_b

@b_b
http://blog.eliaz.fr
RSS: b_b
tous les messages de b_b
  • @b_b
    b_b @b_b PUBLIC DOMAIN 15/12/2021
    12
    @spip
    @jeanmarie
    @arno
    @realet
    @monolecte
    @7h36
    @ericw
    @erational
    @tofulm
    @fil
    @fredlm
    @suske
    12

    Mise à jour CRITIQUE de sécurité : sortie de SPIP 4.0.1 et SPIP (...) - SPIP Blog
    ▻https://blog.spip.net/SPIP-4-0-1_SPIP-3-1-12.html

    https://blog.spip.net/local/cache-vignettes/L1140xH599/aaf8d55bf0e0e7f06bb64c5b5075db-b76a1.png

    Des failles de sécurité nous ont été signalées sur la branche 4.0, elles permettent des injections SQL, de l’exécution de code à distance, ainsi que quelques XSS. Merci à Charles Fol et Théo Gordyjan pour ces multiples signalements ! La version SPIP 4.0.1 corrige toutes ces failles.

    Nous sortons aussi une version SPIP 3.2.12 qui corrige ces failles pour la branche 3.2.

    Il est impératif de mettre à jour votre site SPIP dès que possible.

    #spip

    b_b @b_b PUBLIC DOMAIN
    • @arno
      ARNO* @arno ART LIBRE 15/12/2021

      Gros souci de mon coté : #NOM et #LESAUTEURS de la boucle (AUTEURS) ne semblent plus passer par typo, du coup mes sites multilingues qui ont des <multi> dans les noms des auteurs sont explosés.

      ARNO* @arno ART LIBRE
    • @b_b
      b_b @b_b PUBLIC DOMAIN 15/12/2021
      @arno

      @arno c’est un des effets de bord de la correction d’une des failles cf ▻https://git.spip.net/spip/spip/issues/4969

      b_b @b_b PUBLIC DOMAIN
    • @cy_altern
      cy_altern @cy_altern CC BY-SA 15/12/2021

      pour un patch « quick’n dirty » voir ▻https://git.spip.net/spip/spip/issues/4969#issuecomment-30492

      cy_altern @cy_altern CC BY-SA
    • @arno
      ARNO* @arno ART LIBRE 15/12/2021

      Alors un changement de centième de numéro de version (4.0.1) présenté comme un fix de sécurité à appliquer d’urgence, qui me pète l’intégralité du site sans prévenir, impose de reprendre tous les squelettes au milieu de l’après-midi, et désormais laisse l’interface privée totalement en vrac (les listes d’articles ont leur colonne « Auteur » totalement impraticable, et le bandeau « Actuellement en ligne » fait 20 kilomètres), je vois pas comment c’est possible.

      (Pour info : le site en question est en 5 langues, dont l’arabe et le farsi. Tous les noms des auteurs existent donc en 3 versions, et c’est pas comme si c’était un choix saugrenu de notre part : c’est juste que ça n’aurait pas de sens d’écrire en caractères latins le nom de l’auteur d’un article publié en arabe ou en farsi.)

      ARNO* @arno ART LIBRE
    • @b_b
      b_b @b_b PUBLIC DOMAIN 15/12/2021

      Alors un changement de centième de numéro de version (4.0.1) présenté comme un fix de sécurité à appliquer d’urgence, qui me pète l’intégralité du site sans prévenir, impose de reprendre tous les squelettes au milieu de l’après-midi...

      Vraiment désolé, on a pourtant fait tout pour ne pas envoyer l’annonce vendredi soir histoire de ne pas pourrir le we des gens, et je mentionnerai pas le travail de l’équipe sur la résolution de toutes ces failles...

      Pour ton problème, tu dois pouvoir le résoudre en appliquant extraire_multi de manière globale à la balise #NOM des boucles auteurs, cf ▻https://programmer.spip.net/Traitements-automatiques-des

      b_b @b_b PUBLIC DOMAIN
    • @arno
      ARNO* @arno ART LIBRE 15/12/2021

      Et je suis censé mettre ça où ?

      Je suppose que ce serait quelque chose comme :

      $table_des_traitements['NOM']['auteurs'] = 'extraire_multi(%s)';
      $table_des_traitements['LESAUTEURS']['auteurs'] = 'extraire_multi(%s)';

      Mais ça ne fonctionne pas si je le mets simplement dans mes_options.php

      ARNO* @arno ART LIBRE
    • @rastapopoulos
      RastaPopoulos @rastapopoulos CC BY-NC 15/12/2021

      En gardant la sécu de safehtml après non ?

      Je trouve aussi que c’est une grosse cassure : SPIP est multilingue de base, ya aucune raison que le nom des auteurs ne puissent pas être traduit tout comme le nom du site ou le titre des rubriques (donc en multi pour tout ça).

      Je trouve donc un peu dur de dire que c’est « son » problème comme si c’était un cas rare issu d’un hack et donc à contourner chacun dans son coin (ce qui est la réponse de cédric dans le ticket aussi). Il me semblait à l’inverse que c’était une fonctionnalité de base de l’utilisation première de SPIP : les sites de magazine/presse/journal, donc avec très souvent un jour ou l’autre des auteurs devant être traduits (c’est d’ailleurs même le cas sur notre Contrib avec l’auteur « L’équipe de SPIP »).

      RastaPopoulos @rastapopoulos CC BY-NC
    • @rastapopoulos
      RastaPopoulos @rastapopoulos CC BY-NC 15/12/2021
      @arno

      @arno c’est plus proprement à faire dans le pipeline « tables_interfaces ». Comme questionné dans le ticket, est-ce que tu peux tester avec : ['table_des_traitements']['NOM']['spip_auteurs'] = 'safehtml(extraire_multi(%s))'

      RastaPopoulos @rastapopoulos CC BY-NC
    • @b_b
      b_b @b_b PUBLIC DOMAIN 16/12/2021
      @arno

      @arno comme ça me turlupinait j’y ai passé du temps ce matin (même si j’étais chagriné par ta réaction), et donc avec ça dans mes_fonctions.php ça fonctionne de nouveau (mais ça t’expose à une faille) :

      include_spip('public/interfaces');
      global $table_des_traitements;
      $table_des_traitements['NOM']['spip_auteurs'] = 'safehtml('. _TRAITEMENT_TYPO_SANS_NUMERO.')';

      Plan B, depuis mes_options.php :

      $GLOBALS['spip_pipeline']['declarer_tables_interfaces'] .= "|multi_nom";

      function multi_nom($flux) {
         $flux['table_des_traitements']['NOM']['spip_auteurs'] = 'safehtml('. _TRAITEMENT_TYPO_SANS_NUMERO.')';
              return $flux;
      }

      cf ►https://git.spip.net/spip/spip/pulls/4970

      b_b @b_b PUBLIC DOMAIN
    • @rastapopoulos
      RastaPopoulos @rastapopoulos CC BY-NC 16/12/2021

      Bé comment ça si ya pas mieux ? C’est pas possible faire safehtml(extraire_multi(%s)) comme je demandais hier ?

      La sécurité vient du safehtml() permanent qui a été ajouté, donc pourquoi il peut pas rester en place avec le extraire_multi dedans, pourquoi ça serait un remplacement que l’un ou que l’autre ?

      Mais surtout ça devrait être au core de le faire pour ne pas casser le multilinguisme des gens, pas à chacun dans son coin… (mais déjà on peut tester ça chez soi pour voir)

      RastaPopoulos @rastapopoulos CC BY-NC
    • @jeanmarie
      jeanmarie @jeanmarie CC BY-NC-SA 16/12/2021

      Pour info, il y aussi les numéros qui s’affichent. En ajoutant |supprimer_numero, ça résout le problème. Mais il y a peut-être mieux.

      J’en profite pour remercier l’équipe pour tout la boulot réalisé, comme d’hab’ quoi :)

      jeanmarie @jeanmarie CC BY-NC-SA
    • @b_b
      b_b @b_b PUBLIC DOMAIN 16/12/2021

      Pour info, il y aussi les numéros qui s’affichent.

      Yep, je propose un patch pour régler tout ça dans le ticket signalé en tête de fil :)

      b_b @b_b PUBLIC DOMAIN
    • @b_b
      b_b @b_b PUBLIC DOMAIN 17/12/2021

      Voilà, ça sera corrigé dans la prochaine version cf ►https://git.spip.net/spip/spip/pulls/4970 et j’ai mis à jour mon post plus haut pour les personnes qui souhaitent un patch temporaire.

      b_b @b_b PUBLIC DOMAIN
    • @fil
      Fil @fil 17/12/2021

      quoi ma tête ? qu’est-ce qu’elle a ma tête ?

      Fil @fil
    • @b_b
      b_b @b_b PUBLIC DOMAIN 17/12/2021
      @fil

      huhu @fil

      Pour info, maintenant que j’avais du temps pour ça, j’ai mis à jour seenthis vers SPIP 3.2.12.

      b_b @b_b PUBLIC DOMAIN
    • @fil
      Fil @fil 17/12/2021

      merci mignon!

      Fil @fil
    • @suske
      Suske @suske 23/12/2021

      b_b :-*

      Suske @suske
    Écrire un commentaire

thèmes

  • #spip
À propos de Seenthis Propriété intellectuelle Recommandations API