spipzine

Accueil > Pas demain la veille > Spipophone > SPIP 1.9.2c

SPIP 1.9.2c

vendredi 21 septembre 2007, par polatouche

Attention, mise à jour de sécurité : la version stable de SPIP est désormais la 1.9.2.c. Voici le communiqué officiel.

Alors que nous travaillions à la version 1.9.3 de SPIP qui sortira bientôt (dès qu’elle sera prête), nous avons trouvé une faille de sécurité affectant les versions antérieures de SPIP.

Ceci nous conduit à sortir immédiatement une version 1.9.2c corrigeant cette erreur et quelques autres de moindre gravité.

Cette version de maintenance est maintenant disponible à l’adresse habituelle : http://www.spip.net/fr_download.

Corrections :
- Restauration : reprise sur timeout et déconnexion
- Messagerie interne : envoi du mail de suivi des discussions
- Date de rédaction antérieure : contournement d’un bug IE empêchant la modification
- menu des rubriques (gadget tout le site) : arborescence incomplète dans certains cas
- fiche auteur : bug en modification de l’url du site
- filtres images : bug sur aplatissement en gif
- barre typographique : bug d’affichage
- #URL_LOGOUT : suppression des & et redirection vers la page en cours (self) par défaut
- #LOGIN_PUBLIC : accepte les visiteurs

Améliorations :
- support JQuery 1.1.4 (la version intégrée restant la 1.1.1 + quelques correctifs)
- Fonction image_aplatir : prend un 3eme parametre ’qualite’ (85 par défaut pour les jpg, nombre de couleurs de la palette pour gif et png)
- Mot de passe : Peut contenir des ’ et des \
- articles_tous et brouteur : optimisation des requêtes (surcharge MySQL pour les gros sites)
- Ajout des extensions csv, mkv, mka, kml et kmz

La version stable de Spip est donc à ce jour la 1.9.2c et il est fortement recommandé de mettre à jour tous les sites en production de version antérieure.

Si vous êtes encore en 1.8.x, une version de maintenance est disponible ici : http://www.spip.net/spip-dev/DISTRI...

Si vous travaillez sur la version de développement (1.9.3 dev) de SPIP, cette annonce ne vous concerne évidement pas, mais il vous devez être en révision 10221 ou supérieur pour profiter du correctif.

L’équipe SPIP.

Liste des fichiers modifiés :
/dist/backend.html
/dist/backend-breves.html
/dist/forum.html
/dist/style_prive_defaut.html
/dist/javascript/layer.js
/dist/vignettes/mkv.png
/dist/vignettes/mka.png
/dist/vignettes/kml.png
/dist/vignettes/kmz.png
/ecrire/inc_version.php
/ecrire/action/editer_auteur.php
/ecrire/action/editer_site.php
/ecrire/action/poster_forum_prive.php
/ecrire/balise/login_public.php
/ecrire/balise/url_logout.php
/ecrire/base/typedoc.php
/ecrire/base/upgrade.php
/ecrire/exec/articles_tous.php
/ecrire/exec/brouteur_frame.php
/ecrire/exec/menu_rubriques.php
/ecrire/inc/auth.php
/ecrire/inc/barre.php
/ecrire/inc/dater.php
/ecrire/inc/filtres.php
/ecrire/inc/filtres_images.php
/ecrire/inc/import.php
/ecrire/inc/modifier.php
/ecrire/inc/presentation.php
/ecrire/inc/selectionner_auteur.php
/ecrire/inc/texte.php
/ecrire/install/etape_4.php
/ecrire/public/composer.php

Liste des fichiers modifiés entre la 1.8.3 et la 1.8.3a :
/inc-calcul-outil.php3
/ecrire/inc-version.php3

Messages

  • Bonjour la liste

    Je viens de voir cette annonce !! et ... j ai un gros doute (tres serieux) sur une attaque de mon serveur depuis la mise en production de mon serveur spip 1.9.2b au 15 septembre 2007

    quelle est la teneur de ce trou de securité, quels details etc... peut etre que c’est là l origine de mon attaque ? le site officiel spip n’est pas tres bavard

    quelqu un peut il m aider ? me renseigner ?

    d autre part, je viens de voir cette annonce ... heureusement ... j espere pas trop tard !!!!!

    y aurait il moyen, via une mailing list de connaitre les nouvelles versions importantes a mettre à jour ?

    car depuis que je suis sur les listes rezo, il y a beaucoup d echanges sur plein de choses,( ce qui aide beaucoup, et que j apprecie, tout particulierement cette aide communautaire, et tres active !!! :) car je suis nouvelle sur spip ) sur du developpement de 1.9.3 et j avoue etre passée au travers de cette info ultra importante de correction de securité

    merci pour les conseils

    mp

  • Plus exactement, il me semble que c’est le fichier

    /dist/style_prive_defaut.css

    qui a été modifié plutôt que le

    /dist/style_prive_defaut.html (qui d’ailleurs n’existe pas)