SPIP Blog - Du logiciel libre et de la tendresse
https://blog.spip.net
- ►/872
- ►/871
- ►/870
- ►/868
- ►/866
- ►/864
- ►/863
- ►/Sortie-de-SPIP-4-1-0-parce-que-PHP-8-1-le-vaut-bien.html
- ►/Mise-a-jour-critique-de-securite-sorties-de-SPIP-4-0-4-et-SPIP-3-2-13.html
- ►/SPIP-4-0-1_SPIP-3-1-12.html
- ►/local
- ►/853
- ►/847
- ►/O-mega-c-est-SPIP-4-0-alpha.html
- ►/Mise-a-jour-de-maintenance-sortie-de-SPIP-3-2-11.html
- ►/La-gazette-des-rois-et-des-reines.html
- ►/839
- ►/Oubliez-les-soldes-la-gazette-est-offerte.html
- ►/836
- ►/Composer-et-SPIP-sont-dans-un-bateau.html
- ►/Mise-a-jour-de-securite-et-maintenance-sortie-de-SPIP-3-2-2-3-1-9-et-3-0-28.html
- ►/SPIP-se-meurt.html
- ►/Tiens-une-gazette-SPIP-on-n-y-croyait-plus.html
- ►/-Gazette-.html
- ►/Un-an-sans-gazette-il-etait-temps.html
- ►/812
- ►/Les-5-points-a-retenir-sur-SPIP-en-2017.html
- ►/807
- ►/806
- ►/805
- ►/Gazette-de-mai-parce-que-ca-me-plait.html
- ►/Chouette-SPIP-3-2-Alpha.html
- ►/798
- ►/Et-une-gazette-pour-la-route.html
- ►/795
- ►/794
- ►/Noel-au-balcon-SPIP-aux-tisons.html
- ►/Gazette-d-ete-chaud-bouillant.html
- ►/789
- ►/Et-non-la-gazette-n-est-pas-morte.html
-
-
Mise à jour critique de sécurité : sortie de SPIP 4.2.1, SPIP 4.1.8, SPIP 4.0.10 et SPIP 3.2.18
Suite au signalement d’une faille critique de sécurité, nous publions les version 4.2.1, 4.1.8, 4.0.10 et 3.2.18. Un grand merci à Glop pour le signalement.
@seenthis a eu le droit à sa mise à jour (la dernière avant que quelqu’un⋅e ne se penche sur le portage vers SPIP 4)
#spip
-
Sortie de SPIP 4.2.0
Après un mois de test de la version alpha, nous avons le plaisir de publier la version stable de SPIP 4.2 !
Comme annoncé dans l’article de présentation de la version alpha, SPIP 4.2 apporte avant tout la compatibilité avec PHP 8.2 tout en gardant exceptionnellement une compatibilité avec la version PHP 7.4. C’est aussi un premier pas vers Composer avec l’introduction d’un autoloader à usage interne et l’intégration de dépendances à des librairies PHP via composer.json.
#spip
-
Mise à jour de sécurité : sortie de SPIP 4.1.7, SPIP 4.0.9 et SPIP 3.2.17
Suite au signalement de plusieurs failles critiques de sécurité, nous publions les version 4.1.7, 4.0.9 et 3.2.17. Un grand merci à Abyss Watcher et à un retraité de la communauté SPIP pour ces signalements.
#spip
-
@seenthis vient d’avoir sa mise à jour (un peu tard, mais bon on fait ce qu’on peut).
-
-
-
Mise à jour critique de sécurité : sortie de SPIP 4.1.5, SPIP 4.0.8 et SPIP 3.2.16
Suite au signalement de plusieurs failles critiques de sécurité, nous publions les version 4.1.5, 4.0.8 et 3.2.16. Un grand merci à SpawnZii, Abyss Wacther & Sapperlotti pour ces signalements.
Annonce détaillée
#spip
-
-
Arg, une mise à jour critique de sécurité le vendredi juste avant le week-end, je fais, je fais pas ? Quel dilemne :-))
-
Faire une mise à jour un vendredi à 20h44 ? Tu chercherais pas un peu les excuses pour râler toi ? ^^
PS : NON, tu es en we, décroche de l’écran et va profiter de la vie (c’est d’ailleurs ce que je vais faire de ce pas, si si...)
-
Moi, râler ? :-)) (Bon, d’accord, mon avatar c’est mon très ancien « Captain Furibard », mais c’est pas une raison…)
-
-
Mise à jour de maintenance et sécurité : sortie de SPIP 4.1.2, SPIP 4.0.7 & SPIP 3.2.15
Ces nouvelles versions corrigent plusieurs petites failles de sécurité (de type XSS pour la plupart) ainsi que quelques bugs.
Annonce détaillée
#spip
-
Mise à jour de maintenance : sortie de SPIP 4.1.1 & SPIP 4.0.6
Suite à la sortie de SPIP 4.1.0, nous avons corrigé quelques petits bugs qui nous ont été remontés dans la semaine, et ça n’est pas une blague de 1er avril ;)
La version 4.0.6 profite aussi de quelques corrections reportées depuis la branche 4.1.
#spip
-
Sortie de #SPIP 4.1.0, parce que PHP 8.1 le vaut bien ^^
▻https://blog.spip.net/Sortie-de-SPIP-4-1-0-parce-que-PHP-8-1-le-vaut-bien.htmlAvec le printemps, les oiseaux nous annoncent la sortie de SPIP 4.1, plus sûr, plus moderne... plus bien quoi :)
SPIP 4.1 en résumé
– un SPIP plus sûr avec une refonte du système d’authentification et de chiffrement
– un SPIP compatible avec les versions récentes de PHP 8.0 et PHP 8.1 (les extensions suivantes sont désormais obligatoires : sodium, Zlib, Zip et Phar)
– un SPIP avec des bibliothèques sous-jacentes (JS et PHP) mises à jour
– un plugin Archiviste réécrit
– une nouvelle API de création et de décodage des URLs
– et comme toujours, des traductions mises à jour-
Quand je tente de mettre à jour des plugins, je me prends :
Fatal error: Uncaught Error: Undefined class constant 'ZipArchive::RDONLY'J’étais en 7.4.28. Je viens de passer le site en PHP 8.0.17, même problème.
Par contre :
Libzip version 0.11.2quelle que soit la version de PHP.Je crois bien que je porte la poisse aux changements de version de SPIP. :-))
-
@arno tu aurais certainement plus de réponses sur ►https://discuter.spip.net :)
Tu verras, c’est un site intéressant, on y trouve notamment une mention du problème que tu rencontres par ici ▻https://discuter.spip.net/t/4-1-beta-impossible-de-telecharger-un-plugin-via-svp/159589/7 ^^
-
Non, j’ai plutôt réinstallé la sauvegarde de mon hébergeur, et je vais passer le week-end avec mes enfants.
-
-
-
Mise à jour critique de sécurité : sorties de SPIP 4.0.4 et SPIP 3.2.13
Suite au signalement d’une faille critique de sécurité, nous publions une version 4.0.4 ainsi qu’une version 3.2.13 de maintenance.
►https://blog.spip.net/Mise-a-jour-critique-de-securite-sorties-de-SPIP-4-0-4-et-SPIP-3-2-13.htm
-
Bah alors, personne n’a pensé à mettre à jour @seenthis en 3.2.13 ? Bon ben c’est pour ma pomme...
-
-
-
et à 22 heures, les covido-résistants vont faire une action symbolique fondatrice
mon informateur a d’ailleurs complété en ajoutant que, 2/02/2022 22h00, en numérologie, ça fait 5, le chiffre de la liberté … -
Pour la prochaine libération, je tiens à préciser que j’ai collaboré en faisant partie de la conspiration pour faire croire qu’il faut porter des masques FFP2 en intérieur, mais c’était pour de faux, car j’ai aussi résisté en n’en portant pas à l’extérieur. La seconde preuve de résistance, c’est que j’ai aussi un compte Facebook.
-
Un bon jour pour sortir une version de #SPIP :p
►https://blog.spip.net/Mise-a-jour-critique-de-securite-sorties-de-SPIP-4-0-4-et-SPIP-3-2-13.htm
-
-
Mise à jour CRITIQUE de sécurité : sortie de SPIP 4.0.1 et SPIP (...) - SPIP Blog
▻https://blog.spip.net/SPIP-4-0-1_SPIP-3-1-12.htmlDes failles de sécurité nous ont été signalées sur la branche 4.0, elles permettent des injections SQL, de l’exécution de code à distance, ainsi que quelques XSS. Merci à Charles Fol et Théo Gordyjan pour ces multiples signalements ! La version SPIP 4.0.1 corrige toutes ces failles.
Nous sortons aussi une version SPIP 3.2.12 qui corrige ces failles pour la branche 3.2.
Il est impératif de mettre à jour votre site SPIP dès que possible.
#spip
-
Gros souci de mon coté : #NOM et #LESAUTEURS de la boucle (AUTEURS) ne semblent plus passer par
typo, du coup mes sites multilingues qui ont des<multi>dans les noms des auteurs sont explosés. -
@arno c’est un des effets de bord de la correction d’une des failles cf ▻https://git.spip.net/spip/spip/issues/4969
-
pour un patch « quick’n dirty » voir ▻https://git.spip.net/spip/spip/issues/4969#issuecomment-30492
-
Alors un changement de centième de numéro de version (4.0.1) présenté comme un fix de sécurité à appliquer d’urgence, qui me pète l’intégralité du site sans prévenir, impose de reprendre tous les squelettes au milieu de l’après-midi, et désormais laisse l’interface privée totalement en vrac (les listes d’articles ont leur colonne « Auteur » totalement impraticable, et le bandeau « Actuellement en ligne » fait 20 kilomètres), je vois pas comment c’est possible.
(Pour info : le site en question est en 5 langues, dont l’arabe et le farsi. Tous les noms des auteurs existent donc en 3 versions, et c’est pas comme si c’était un choix saugrenu de notre part : c’est juste que ça n’aurait pas de sens d’écrire en caractères latins le nom de l’auteur d’un article publié en arabe ou en farsi.)
-
Alors un changement de centième de numéro de version (4.0.1) présenté comme un fix de sécurité à appliquer d’urgence, qui me pète l’intégralité du site sans prévenir, impose de reprendre tous les squelettes au milieu de l’après-midi...
Vraiment désolé, on a pourtant fait tout pour ne pas envoyer l’annonce vendredi soir histoire de ne pas pourrir le we des gens, et je mentionnerai pas le travail de l’équipe sur la résolution de toutes ces failles...
Pour ton problème, tu dois pouvoir le résoudre en appliquant
extraire_multide manière globale à la balise #NOM des boucles auteurs, cf ▻https://programmer.spip.net/Traitements-automatiques-des -
Et je suis censé mettre ça où ?
Je suppose que ce serait quelque chose comme :
$table_des_traitements['NOM']['auteurs'] = 'extraire_multi(%s)';
$table_des_traitements['LESAUTEURS']['auteurs'] = 'extraire_multi(%s)';
Mais ça ne fonctionne pas si je le mets simplement dansmes_options.php -
En gardant la sécu de safehtml après non ?
Je trouve aussi que c’est une grosse cassure : SPIP est multilingue de base, ya aucune raison que le nom des auteurs ne puissent pas être traduit tout comme le nom du site ou le titre des rubriques (donc en multi pour tout ça).
Je trouve donc un peu dur de dire que c’est « son » problème comme si c’était un cas rare issu d’un hack et donc à contourner chacun dans son coin (ce qui est la réponse de cédric dans le ticket aussi). Il me semblait à l’inverse que c’était une fonctionnalité de base de l’utilisation première de SPIP : les sites de magazine/presse/journal, donc avec très souvent un jour ou l’autre des auteurs devant être traduits (c’est d’ailleurs même le cas sur notre Contrib avec l’auteur « L’équipe de SPIP »).
-
@arno c’est plus proprement à faire dans le pipeline « tables_interfaces ». Comme questionné dans le ticket, est-ce que tu peux tester avec :
['table_des_traitements']['NOM']['spip_auteurs'] = 'safehtml(extraire_multi(%s))' -
@arno comme ça me turlupinait j’y ai passé du temps ce matin (même si j’étais chagriné par ta réaction), et donc avec ça dans
mes_fonctions.phpça fonctionne de nouveau (mais ça t’expose à une faille) :include_spip('public/interfaces');
global $table_des_traitements;
$table_des_traitements['NOM']['spip_auteurs'] = 'safehtml('. _TRAITEMENT_TYPO_SANS_NUMERO.')';Plan B, depuis
mes_options.php:$GLOBALS['spip_pipeline']['declarer_tables_interfaces'] .= "|multi_nom";
function multi_nom($flux) {
$flux['table_des_traitements']['NOM']['spip_auteurs'] = 'safehtml('. _TRAITEMENT_TYPO_SANS_NUMERO.')';
return $flux;
} -
Bé comment ça si ya pas mieux ? C’est pas possible faire
safehtml(extraire_multi(%s))comme je demandais hier ?La sécurité vient du safehtml() permanent qui a été ajouté, donc pourquoi il peut pas rester en place avec le extraire_multi dedans, pourquoi ça serait un remplacement que l’un ou que l’autre ?
Mais surtout ça devrait être au core de le faire pour ne pas casser le multilinguisme des gens, pas à chacun dans son coin… (mais déjà on peut tester ça chez soi pour voir)
-
Pour info, il y aussi les numéros qui s’affichent. En ajoutant
|supprimer_numero, ça résout le problème. Mais il y a peut-être mieux.J’en profite pour remercier l’équipe pour tout la boulot réalisé, comme d’hab’ quoi :)
-
Pour info, il y aussi les numéros qui s’affichent.
Yep, je propose un patch pour régler tout ça dans le ticket signalé en tête de fil :)
-
Voilà, ça sera corrigé dans la prochaine version cf ►https://git.spip.net/spip/spip/pulls/4970 et j’ai mis à jour mon post plus haut pour les personnes qui souhaitent un patch temporaire.
-
-
huhu @fil
Pour info, maintenant que j’avais du temps pour ça, j’ai mis à jour seenthis vers SPIP 3.2.12.
-
-
-
-
SPIP 4.0 tout simplement !
La belle histoire de SPIP continue ❤️. Pour l’anniversaire de ses vingt ans, nous sommes très heureux de sortir une nouvelle version moderne, agréable et performante.
Cette version SPIP 4.0 offre un espace privé relooké. En conservant la logique des boucles et des objets éditoriaux, SPIP 4.0 s’accompagne d’un lot de nouveautés à l’instar d’une gestion simplifiée des documents et d’un meilleur support des nouveaux formats d’images du web (SVG notamment).
SPIP demeure aussi fidèle à ses valeurs de jeunesse, la promotion d’un web libre et indépendant, le respect de chaque personne et la défiance par rapport à l’argent.
Nous remercions toutes les personnes qui ont fait et qui continuent à contribuer à la petite histoire d’un logiciel libre indépendant des grandes plateformes.
Retrouvez tous les détails de cette sortie sur l’article du blog :
▻https://blog.spip.net/853--
L’équipe -
Nous sommes heureux de vous présenter la version alpha de SPIP 4.0.
Oh là là là là, c’est énooooorme : SPIP passe en version 4.0.0-alpha !
Joie, émotion, tout ça. J’en ai les yeux tout humides#SPIPCMS cela reste malin, léger et frais !
Attention :
C’est une version alpha, elle peut encore contenir des bugs,
ne l’utilisez pas sur un site en production sans savoir ce que vous faites.Cette nouvelle version intègre différentes évolutions concernant l’interface d’administration, la gestion des documents, une syntaxe de boucles étendue et quelques allègements.
Retrouvez tous les détails sur l’article du blog :
▻https://blog.spip.net/847 -
Oh là là là là, c’est énaurme : SPIP passe en version 4.0.0-alpha !
▻https://git.spip.net/spip/spip/commit/57d94a59d7c497bfcab0ca0bd961819ac821e878Joie, émotion, tout ça. J’en ai les yeux tout humides de reconnaissance sincère, les gens. Comment c’est trop #merci à tou·tes…
-
Mise à jour de maintenance : sortie de SPIP 3.2.11
Si vous suivez l’actualité de git.spip.net, vous avez certainement constaté une grande activité à l’approche de la sortie de SPIP 3.3. Comme discuté sur la liste spip-dev cf ▻https://www.mail-archive.com/spip-dev@rezo.net/msg71320.html cette version nécessitera PHP 7.3 au minimum, en accord avec notre nouveau cycle de release.
Toutefois, afin de chouchouter les personnes souhaitant rester sur la branche 3.2, nous avons décidé de sortir une version de support étendu (ou LTS) qui améliore la compatibilité jusqu’à PHP 7.4 dans cette branche.
SPIP 3.2.11 est donc compatible avec les versions de PHP 5.4 à 7.4.
La version 3.2.10 fut écourtée par la découverte d’une absence de report de quelques modifications intéressantes.
Lire l’annonce complète : ▻https://blog.spip.net/Mise-a-jour-de-maintenance-sortie-de-SPIP-3-2-11.html
L’équipe
-
La gazette des rois et des reines
▻https://blog.spip.net/La-gazette-des-rois-et-des-reines.html
-
Mise à jour CRITIQUE de sécurité : sortie de SPIP 3.2.7 & SPIP 3.1.12
Une faille CRITIQUE a été découverte récemment sous #SPIP, elle permet à des auteurs identifiés d’injecter du contenu dans la base de données. Cette faille concerne les branches SPIP 3.1 et 3.2.
Il est impératif de mettre à jour votre site SPIP dès que possible.
L’équipe remercie Alexis Zucca pour l’identification et le signalement de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.13 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
Comme annoncé précédemment, la version beta de SPIP 3.3 sera bientôt disponible, à suivre...
Annonce complète et détails
▻https://blog.spip.net/839Télécharger SPIP
►https://www.spip.net/fr_download -
Oubliez les soldes, la gazette est offerte !
▻https://blog.spip.net/Oubliez-les-soldes-la-gazette-est-offerte.html
-
Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11
Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la modification arbitraire de contenus publiés, par les visiteurs non-identifiés.
Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en version 3.2.5 ou 3.1.11.Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille.
►https://www.spip.net/fr_article4200.htmlLa mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité moins graves.
L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent et Christophe Laffont pour leurs signalements.Annonce complète et détails
▻https://blog.spip.net/836Télécharger #SPIP
►https://www.spip.net/fr_download-- L’équipe
-
-
Toi tu ne traines pas assez sur contrib.spip.net, ou alors tu ne lis pas la gazette ►https://blog.spip.net/-Gazette-.html :p
Donc, maintenant il n’y a plus 5 ou 6 plugins pour gérer des newsletters dans SPIP, mais un seul (une collection de plugins pour être plus précis) maintenu par la communauté :
▻https://contrib.spip.net/Newsletters
Et comme les choses sont bien faites, tu peux importer tes abonné⋅e⋅s depuis un ancien plugin vers le « nouveau » cf ▻https://contrib.spip.net/Mailsubscribers#Migration-depuis-un-ancien-plugin
Comme dirait @suske : « SPIP c’est bôôôôôôô » :)
-
Je vais tenter le coup. Je récupère un vieux site SPIP, où toutes les fonctions ont été recollées « à la main », avec du PHP en dur partout, le cache à zéro… Alors la migration vers SPIP 3, c’est fun…
-
