SPIP 2.1.6

Cette nouvelle version corrige divers problèmes de sécurité.

Ces bugs pouvaient permettre à un rédacteur du site de modifier la
configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).

Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours
pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.

La version 2.1.6 corrige aussi quelques petits soucis mineurs :
-  sur la messagerie interne en cas de l’absence du plugin “champs extras”.
-  l’info de mise à jour pouvait indiquer plusieurs nouvelles versions de SPIP
-  des erreurs de compilation ne s’affichaient plus
-  utilisation de LIKE en SQLite
-  année 0000 en Postgresql
-  amélioration de la détection de l’existence d’une table
-  gestion d’un champ titre générique pour les urls

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité ; si vous n’avez pas le temps de faire tout de
suite une mise à jour complète, vous pouvez sécuriser en deux minutes
votre site en téléchargeant la version 0.9.5 de l’écran de sécurité,
et en la déposant dans votre répertoire config/
* cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
installer SPIP 2.1.6

3. par FTP : SPIP 2.1.6 est disponible à l’adresse

4. et bien sûr par SVN ; si vous êtes dans la branche

  • svn://trac.rezo.net/spip/branches/spip-2.1 faites simplement svn up

La version 2.1.6 est aussi disponible sous la branche

  • svn://trac.rezo.net/spip/branches/spip-2-stable/
    et le tag
  • svn://trac.rezo.net/spip/tags/spip-2.1.6/

Cette mise à jour de SPIP nécessite également une mise à jour des plugins CFG, SPIP-bonux et Composition.

updated on 4 January 2011

Discussion

5 discussions

  • 2

    Depuis la mise à jour, mon site SPIP marche normalement : ai je fait une mauvaise manipulation? Merci de m’aider

    • phracktale

      Hum... supprime le répertoire config, ça ne devrait plus marcher normalement après cette opération.

    • Bonjour X.O

      J’ai mis un peu de temps à comprendre ce dont tu te plaignais.

      En fait, la manip proposée par Phracktale te fait réinstaller carrément Spip. Ce n’est pas nécessaire ici.
      Dans une mise à jour mineure, (ce qui est le cas si tu viens de SPIP 2.1 déjà, tu vérifies ensuite que tout en bas de ton site, c’est bien la nouvelle version qui est indiquée (par exemple, ça affichait Spip 2.1.2 et tu vois ensuite 2.1.6;
      C’est que ça a marché.

      En revanche, tu vois des choses bizarres côté “privé” si tu n’as pas fait la mise à jour de certains plugins (Cfg, Spip-bonux cités ci dessus tout en bas de l’article) et Médiathèque si tu utilises ce plugin. Et sans doute d’autres...

      Pétarel

    Reply to this message

  • 1
    Aurélie Dufour

    Bonjour,

    J’ai constaté en installant la version 2.1.6 que la langue par défaut, malgré l’affichage en français au moment de l’installation de SPIP, est en fait l’arabe. Ainsi, les boutons d’administration “Espace privé” et “Recalculer cette page”, les messages d’erreur des boucles m’apparaissaient en arabe... Je ne sais pas si d’autres personnes ont également rencontré ce problème, aussi je donne tout de même la petite manipulation à faire si jamais vous avez ce bug...

    Il faut regarder les lignes d’insertion en base de données MySQL et plus particulièrement celle-ci :

    INSERT INTO `spip_meta` VALUES('langue_site', 'ar', 'non', '2010-12-28 11:49:50');

    Et y remplacer ’ar’ par ’fr’, ce qui donne ceci :

    INSERT INTO `spip_meta` VALUES('langue_site', 'fr', 'non', '2010-12-28 11:49:50');

    Et là tout rentre dans l’ordre ! :)

    En revanche, je rencontre un problème de téléchargement de fichiers joints aux articles : après avoir sélectionné le fichier à uploader, puis cliqué sur le bouton “Télécharger”, une petite roue apparaît, comme si le document était effectivement téléchargé, mais ça s’arrête très vite et le téléchargement est stoppé net... Le répertoire IMG/ ne contient rien, la base de données aucune référence à un document joint non plus. Les droits en écriture sur ce répertoire sont bons, le problème semble venir d’ailleurs, mais où ? Quelqu’un a-t-il déjà eu ce souci et comme le résoudre ?

    Merci d’avance pour vos réponses ! :)
    Aurélie

    • Bonjour Aurélie,

      J’avais exactement la même chose. Je pense avoir résolu le problème : d’abord en mettant à jour avec la dernière version de CFG et Spip-bonux comme il est dit ci dessus. Et aussi en mettant à jour Médiathèque.

      Quand on fait la mise à jour de Médiathèque, il y a un vilain message d’erreur qui s’affiche quand on va côté “privé”, mais dès qu’on vide le cache (via SPIP, tout bêtement), il disparait et apparemment, ne réapparait plus. Donc juste une question de couac avec l’ancienne version de Médiathèque qu’il a en mémoire, je pense.

      J’en suis là pour le moment, tout a l’air de marcher, mais je viens tout juste de résoudre le pb... On continue de partager nos ennuis et nos solutions !

      Pétarel

    Reply to this message

  • 3

    Depuis la mise à jour le sélecteur de composition ne fonctionne plus ! Si personne ne sait comment peux t on réinstaller la précédente version

    Reply to this message

  • 4

    Une petite question, on ne met plus les articles de versions de SPIP sur spip.net ?

    Si on le met aussi sur spip.net, je veux bien créer et mettre l’auteur adéquate sur l’article si c’est faute de temps…

    • Je suppose qu’on ne fait pas un article de doc pour les versions mineures. Depuis la 2.0 il n’y en a jamais eu sur le .net car on essaye désormais de ne pas ajouter de fonctionnalités dans ces versions, mais uniquement des corrections. Enfin je crois.

    • Oui, je suis d’accord, mais là, on peut avoir l’impression qu’il n’y a pas eu de nouvelles versions de SPIP depuis la 2.1…

      Et par défaut, le site principal est spip.net où on renvoie en bas de page sur un squelette par défaut (ou même beaucoup de personnes dans des squelettes personnalisés). De plus, même sur Wordpress, on trouve les versionnings… M’enfin, bref, si vous changez d’avis, faites moi signe, je le ferai le cas échéant.

    • Oui ça serait peut-être bien, mais je voulais dire : ce n’est plus le cas depuis SPIP 2.0 c’est-à-dire depuis déjà plus de 2 ans, ce n’est pas nouveau. :)

    Reply to this message

  • 3

    merci mais ca n’a servi à rien :

    voici ce que l’interface interne renvoit :
    ./plugins/auto/compositions/formulaires/inc-selecteur_composition.html

    Numéro message squelette boucle Ligne
    1 Table SQL « POUR » inconnue ../plugins/auto/compositions/formulaires/inc-selecteur_composition.html _pour 1

    • à j’ai eu un bug semblable également.

      Essayer de mettre aussi à jour Bonux + vider le cache. Cela devrait rentrer dans l’ordre.

      ps : merci de répondre dans le même fil de discussion.

    • A. LE GALL

      Bonsoir,

      Je me suis précipité aussi pour faire cette mise à jour (mais rien qu’en local heureusement.
      Le formulaire contact avancé ne fonctionne plus effectivement, même en faisant aussi une mise à jour de ce plugin.
      La version spip 2.1.6 n’est sans doute pas mûre ! ?

      J’espère que cela va pouvoir s’arranger bientôt.
      Et de toute façon ne pas se précipiter.
      À bientôt

    • idem, chez moi pas de problème. Essayez de mettre à jour CFG

    Reply to this message

Comment on this article

Who are you?
  • [Log in]

To show your avatar with your message, register it first on gravatar.com (free et painless) and don’t forget to indicate your Email addresse here.

Enter your comment here

This form accepts SPIP shortcuts {{bold}} {italic} -*list [text->url] <quote> <code> and HTML code <q> <del> <ins>. To create paragraphs, just leave empty lines.

Add a document

Follow the comments: RSS 2.0 | Atom