Mise à jour critique de sécurité : sortie de SPIP 4.2.1, SPIP 4.1.8, SPIP 4.0.10 et SPIP 3.2.18
Suite au signalement d’une faille critique de sécurité, nous publions les version 4.2.1, 4.1.8, 4.0.10 et 3.2.18. Un grand merci à Glop pour le signalement.
@seenthis a eu le droit à sa mise à jour (la dernière avant que quelqu’un⋅e ne se penche sur le portage vers SPIP 4)
#spip
Sortie de SPIP 4.2.0
Après un mois de test de la version alpha, nous avons le plaisir de publier la version stable de SPIP 4.2 !
Comme annoncé dans l’article de présentation de la version alpha, SPIP 4.2 apporte avant tout la compatibilité avec PHP 8.2 tout en gardant exceptionnellement une compatibilité avec la version PHP 7.4. C’est aussi un premier pas vers Composer avec l’introduction d’un autoloader à usage interne et l’intégration de dépendances à des librairies PHP via composer.json.
#spip
Mise à jour de sécurité : sortie de SPIP 4.1.7, SPIP 4.0.9 et SPIP 3.2.17
Suite au signalement de plusieurs failles critiques de sécurité, nous publions les version 4.1.7, 4.0.9 et 3.2.17. Un grand merci à Abyss Watcher et à un retraité de la communauté SPIP pour ces signalements.
#spip
@seenthis vient d’avoir sa mise à jour (un peu tard, mais bon on fait ce qu’on peut).
Mise à jour critique de sécurité : sortie de SPIP 4.1.5, SPIP 4.0.8 et SPIP 3.2.16
Suite au signalement de plusieurs failles critiques de sécurité, nous publions les version 4.1.5, 4.0.8 et 3.2.16. Un grand merci à SpawnZii, Abyss Wacther & Sapperlotti pour ces signalements.
Annonce détaillée
#spip
Arg, une mise à jour critique de sécurité le vendredi juste avant le week-end, je fais, je fais pas ? Quel dilemne :-))
Faire une mise à jour un vendredi à 20h44 ? Tu chercherais pas un peu les excuses pour râler toi ? ^^
PS : NON, tu es en we, décroche de l’écran et va profiter de la vie (c’est d’ailleurs ce que je vais faire de ce pas, si si...)
Moi, râler ? :-)) (Bon, d’accord, mon avatar c’est mon très ancien « Captain Furibard », mais c’est pas une raison…)
Mise à jour de maintenance et sécurité : sortie de SPIP 4.1.2, SPIP 4.0.7 & SPIP 3.2.15
Ces nouvelles versions corrigent plusieurs petites failles de sécurité (de type XSS pour la plupart) ainsi que quelques bugs.
Annonce détaillée
#spip
Mise à jour de maintenance : sortie de SPIP 4.1.1 & SPIP 4.0.6
Suite à la sortie de SPIP 4.1.0, nous avons corrigé quelques petits bugs qui nous ont été remontés dans la semaine, et ça n’est pas une blague de 1er avril ;)
La version 4.0.6 profite aussi de quelques corrections reportées depuis la branche 4.1.
#spip
Sortie de #SPIP 4.1.0, parce que PHP 8.1 le vaut bien ^^
▻https://blog.spip.net/Sortie-de-SPIP-4-1-0-parce-que-PHP-8-1-le-vaut-bien.html
Avec le printemps, les oiseaux nous annoncent la sortie de SPIP 4.1, plus sûr, plus moderne... plus bien quoi :)
SPIP 4.1 en résumé
– un SPIP plus sûr avec une refonte du système d’authentification et de chiffrement
– un SPIP compatible avec les versions récentes de PHP 8.0 et PHP 8.1 (les extensions suivantes sont désormais obligatoires : sodium, Zlib, Zip et Phar)
– un SPIP avec des bibliothèques sous-jacentes (JS et PHP) mises à jour
– un plugin Archiviste réécrit
– une nouvelle API de création et de décodage des URLs
– et comme toujours, des traductions mises à jour
Quand je tente de mettre à jour des plugins, je me prends :
Fatal error: Uncaught Error: Undefined class constant 'ZipArchive::RDONLY'
J’étais en 7.4.28. Je viens de passer le site en PHP 8.0.17, même problème.
Par contre : Libzip version 0.11.2
quelle que soit la version de PHP.
Je crois bien que je porte la poisse aux changements de version de SPIP. :-))
@arno tu aurais certainement plus de réponses sur ►https://discuter.spip.net :)
Tu verras, c’est un site intéressant, on y trouve notamment une mention du problème que tu rencontres par ici ▻https://discuter.spip.net/t/4-1-beta-impossible-de-telecharger-un-plugin-via-svp/159589/7 ^^
Non, j’ai plutôt réinstallé la sauvegarde de mon hébergeur, et je vais passer le week-end avec mes enfants.
Mise à jour critique de sécurité : sorties de SPIP 4.0.4 et SPIP 3.2.13
Suite au signalement d’une faille critique de sécurité, nous publions une version 4.0.4 ainsi qu’une version 3.2.13 de maintenance.
►https://blog.spip.net/Mise-a-jour-critique-de-securite-sorties-de-SPIP-4-0-4-et-SPIP-3-2-13.htm
Bah alors, personne n’a pensé à mettre à jour @seenthis en 3.2.13 ? Bon ben c’est pour ma pomme...
et à 22 heures, les covido-résistants vont faire une action symbolique fondatrice
mon informateur a d’ailleurs complété en ajoutant que, 2/02/2022 22h00, en numérologie, ça fait 5, le chiffre de la liberté …
Pour la prochaine libération, je tiens à préciser que j’ai collaboré en faisant partie de la conspiration pour faire croire qu’il faut porter des masques FFP2 en intérieur, mais c’était pour de faux, car j’ai aussi résisté en n’en portant pas à l’extérieur. La seconde preuve de résistance, c’est que j’ai aussi un compte Facebook.
Un bon jour pour sortir une version de #SPIP :p
►https://blog.spip.net/Mise-a-jour-critique-de-securite-sorties-de-SPIP-4-0-4-et-SPIP-3-2-13.htm
Mise à jour CRITIQUE de sécurité : sortie de SPIP 4.0.1 et SPIP (...) - SPIP Blog
▻https://blog.spip.net/SPIP-4-0-1_SPIP-3-1-12.html
Des failles de sécurité nous ont été signalées sur la branche 4.0, elles permettent des injections SQL, de l’exécution de code à distance, ainsi que quelques XSS. Merci à Charles Fol et Théo Gordyjan pour ces multiples signalements ! La version SPIP 4.0.1 corrige toutes ces failles.
Nous sortons aussi une version SPIP 3.2.12 qui corrige ces failles pour la branche 3.2.
Il est impératif de mettre à jour votre site SPIP dès que possible.
#spip
Gros souci de mon coté : #NOM et #LESAUTEURS de la boucle (AUTEURS) ne semblent plus passer par typo
, du coup mes sites multilingues qui ont des <multi>
dans les noms des auteurs sont explosés.
@arno c’est un des effets de bord de la correction d’une des failles cf ▻https://git.spip.net/spip/spip/issues/4969
pour un patch « quick’n dirty » voir ▻https://git.spip.net/spip/spip/issues/4969#issuecomment-30492
Alors un changement de centième de numéro de version (4.0.1) présenté comme un fix de sécurité à appliquer d’urgence, qui me pète l’intégralité du site sans prévenir, impose de reprendre tous les squelettes au milieu de l’après-midi, et désormais laisse l’interface privée totalement en vrac (les listes d’articles ont leur colonne « Auteur » totalement impraticable, et le bandeau « Actuellement en ligne » fait 20 kilomètres), je vois pas comment c’est possible.
(Pour info : le site en question est en 5 langues, dont l’arabe et le farsi. Tous les noms des auteurs existent donc en 3 versions, et c’est pas comme si c’était un choix saugrenu de notre part : c’est juste que ça n’aurait pas de sens d’écrire en caractères latins le nom de l’auteur d’un article publié en arabe ou en farsi.)
Alors un changement de centième de numéro de version (4.0.1) présenté comme un fix de sécurité à appliquer d’urgence, qui me pète l’intégralité du site sans prévenir, impose de reprendre tous les squelettes au milieu de l’après-midi...
Vraiment désolé, on a pourtant fait tout pour ne pas envoyer l’annonce vendredi soir histoire de ne pas pourrir le we des gens, et je mentionnerai pas le travail de l’équipe sur la résolution de toutes ces failles...
Pour ton problème, tu dois pouvoir le résoudre en appliquant extraire_multi
de manière globale à la balise #NOM des boucles auteurs, cf ▻https://programmer.spip.net/Traitements-automatiques-des
Et je suis censé mettre ça où ?
Je suppose que ce serait quelque chose comme :
$table_des_traitements['NOM']['auteurs'] = 'extraire_multi(%s)';
$table_des_traitements['LESAUTEURS']['auteurs'] = 'extraire_multi(%s)';
mes_options.php
En gardant la sécu de safehtml après non ?
Je trouve aussi que c’est une grosse cassure : SPIP est multilingue de base, ya aucune raison que le nom des auteurs ne puissent pas être traduit tout comme le nom du site ou le titre des rubriques (donc en multi pour tout ça).
Je trouve donc un peu dur de dire que c’est « son » problème comme si c’était un cas rare issu d’un hack et donc à contourner chacun dans son coin (ce qui est la réponse de cédric dans le ticket aussi). Il me semblait à l’inverse que c’était une fonctionnalité de base de l’utilisation première de SPIP : les sites de magazine/presse/journal, donc avec très souvent un jour ou l’autre des auteurs devant être traduits (c’est d’ailleurs même le cas sur notre Contrib avec l’auteur « L’équipe de SPIP »).
@arno c’est plus proprement à faire dans le pipeline « tables_interfaces ». Comme questionné dans le ticket, est-ce que tu peux tester avec : ['table_des_traitements']['NOM']['spip_auteurs'] = 'safehtml(extraire_multi(%s))'
@arno comme ça me turlupinait j’y ai passé du temps ce matin (même si j’étais chagriné par ta réaction), et donc avec ça dans mes_fonctions.php
ça fonctionne de nouveau (mais ça t’expose à une faille) :
include_spip('public/interfaces');
global $table_des_traitements;
$table_des_traitements['NOM']['spip_auteurs'] = 'safehtml('. _TRAITEMENT_TYPO_SANS_NUMERO.')';
Plan B, depuis mes_options.php
:
$GLOBALS['spip_pipeline']['declarer_tables_interfaces'] .= "|multi_nom";
function multi_nom($flux) {
$flux['table_des_traitements']['NOM']['spip_auteurs'] = 'safehtml('. _TRAITEMENT_TYPO_SANS_NUMERO.')';
return $flux;
}
Bé comment ça si ya pas mieux ? C’est pas possible faire safehtml(extraire_multi(%s))
comme je demandais hier ?
La sécurité vient du safehtml() permanent qui a été ajouté, donc pourquoi il peut pas rester en place avec le extraire_multi dedans, pourquoi ça serait un remplacement que l’un ou que l’autre ?
Mais surtout ça devrait être au core de le faire pour ne pas casser le multilinguisme des gens, pas à chacun dans son coin… (mais déjà on peut tester ça chez soi pour voir)
Pour info, il y aussi les numéros qui s’affichent. En ajoutant |supprimer_numero
, ça résout le problème. Mais il y a peut-être mieux.
J’en profite pour remercier l’équipe pour tout la boulot réalisé, comme d’hab’ quoi :)
Pour info, il y aussi les numéros qui s’affichent.
Yep, je propose un patch pour régler tout ça dans le ticket signalé en tête de fil :)
Voilà, ça sera corrigé dans la prochaine version cf ►https://git.spip.net/spip/spip/pulls/4970 et j’ai mis à jour mon post plus haut pour les personnes qui souhaitent un patch temporaire.
huhu @fil
Pour info, maintenant que j’avais du temps pour ça, j’ai mis à jour seenthis vers SPIP 3.2.12.
SPIP 4.0 tout simplement !
La belle histoire de SPIP continue ❤️. Pour l’anniversaire de ses vingt ans, nous sommes très heureux de sortir une nouvelle version moderne, agréable et performante.
Cette version SPIP 4.0 offre un espace privé relooké. En conservant la logique des boucles et des objets éditoriaux, SPIP 4.0 s’accompagne d’un lot de nouveautés à l’instar d’une gestion simplifiée des documents et d’un meilleur support des nouveaux formats d’images du web (SVG notamment).
SPIP demeure aussi fidèle à ses valeurs de jeunesse, la promotion d’un web libre et indépendant, le respect de chaque personne et la défiance par rapport à l’argent.
Nous remercions toutes les personnes qui ont fait et qui continuent à contribuer à la petite histoire d’un logiciel libre indépendant des grandes plateformes.
Retrouvez tous les détails de cette sortie sur l’article du blog :
▻https://blog.spip.net/853
--
L’équipe
Nous sommes heureux de vous présenter la version alpha de SPIP 4.0.
Oh là là là là, c’est énooooorme : SPIP passe en version 4.0.0-alpha !
Joie, émotion, tout ça. J’en ai les yeux tout humides
#SPIPCMS cela reste malin, léger et frais !
Attention :
C’est une version alpha, elle peut encore contenir des bugs,
ne l’utilisez pas sur un site en production sans savoir ce que vous faites.
Cette nouvelle version intègre différentes évolutions concernant l’interface d’administration, la gestion des documents, une syntaxe de boucles étendue et quelques allègements.
Retrouvez tous les détails sur l’article du blog :
▻https://blog.spip.net/847
Oh là là là là, c’est énaurme : SPIP passe en version 4.0.0-alpha !
▻https://git.spip.net/spip/spip/commit/57d94a59d7c497bfcab0ca0bd961819ac821e878
Joie, émotion, tout ça. J’en ai les yeux tout humides de reconnaissance sincère, les gens. Comment c’est trop #merci à tou·tes…
Mise à jour de maintenance : sortie de SPIP 3.2.11
Si vous suivez l’actualité de git.spip.net, vous avez certainement constaté une grande activité à l’approche de la sortie de SPIP 3.3. Comme discuté sur la liste spip-dev cf ▻https://www.mail-archive.com/spip-dev@rezo.net/msg71320.html cette version nécessitera PHP 7.3 au minimum, en accord avec notre nouveau cycle de release.
Toutefois, afin de chouchouter les personnes souhaitant rester sur la branche 3.2, nous avons décidé de sortir une version de support étendu (ou LTS) qui améliore la compatibilité jusqu’à PHP 7.4 dans cette branche.
SPIP 3.2.11 est donc compatible avec les versions de PHP 5.4 à 7.4.
La version 3.2.10 fut écourtée par la découverte d’une absence de report de quelques modifications intéressantes.
Lire l’annonce complète : ▻https://blog.spip.net/Mise-a-jour-de-maintenance-sortie-de-SPIP-3-2-11.html
L’équipe
La gazette des rois et des reines
▻https://blog.spip.net/La-gazette-des-rois-et-des-reines.html
Mise à jour CRITIQUE de sécurité : sortie de SPIP 3.2.7 & SPIP 3.1.12
Une faille CRITIQUE a été découverte récemment sous #SPIP, elle permet à des auteurs identifiés d’injecter du contenu dans la base de données. Cette faille concerne les branches SPIP 3.1 et 3.2.
Il est impératif de mettre à jour votre site SPIP dès que possible.
L’équipe remercie Alexis Zucca pour l’identification et le signalement de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.13 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
Comme annoncé précédemment, la version beta de SPIP 3.3 sera bientôt disponible, à suivre...
Annonce complète et détails
▻https://blog.spip.net/839
Télécharger SPIP
►https://www.spip.net/fr_download
Oubliez les soldes, la gazette est offerte !
▻https://blog.spip.net/Oubliez-les-soldes-la-gazette-est-offerte.html
Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11
Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la modification arbitraire de contenus publiés, par les visiteurs non-identifiés.
Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en version 3.2.5 ou 3.1.11.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille.
►https://www.spip.net/fr_article4200.html
La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité moins graves.
L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent et Christophe Laffont pour leurs signalements.
Annonce complète et détails
▻https://blog.spip.net/836
Télécharger #SPIP
►https://www.spip.net/fr_download
-- L’équipe
Toi tu ne traines pas assez sur contrib.spip.net, ou alors tu ne lis pas la gazette ►https://blog.spip.net/-Gazette-.html :p
Donc, maintenant il n’y a plus 5 ou 6 plugins pour gérer des newsletters dans SPIP, mais un seul (une collection de plugins pour être plus précis) maintenu par la communauté :
▻https://contrib.spip.net/Newsletters
Et comme les choses sont bien faites, tu peux importer tes abonné⋅e⋅s depuis un ancien plugin vers le « nouveau » cf ▻https://contrib.spip.net/Mailsubscribers#Migration-depuis-un-ancien-plugin
Comme dirait @suske : « SPIP c’est bôôôôôôô » :)
Je vais tenter le coup. Je récupère un vieux site SPIP, où toutes les fonctions ont été recollées « à la main », avec du PHP en dur partout, le cache à zéro… Alors la migration vers SPIP 3, c’est fun…