========================== ========================== =================== CERT-Renater Note d'Information No. 2014/VULN027 _____________________________________________________________________ DATE : 24/01/2014 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running SPIP versions prior to 2.0.24, 2.1.25, 3.0.14. ========================== ========================== ==================== http://archives.rezo.net/archives/spip-ann.mbox/BVKNPB7EGXG7LRQY2FDKTWSUY= X6MB2PW/ ______________________________________________________________________ Sujet : Bonne année 3014 ! Pour bien commencer 2014, 3 versions de SPIP sont disponibles : SPIP 2.0.24, SPIP 2.1.25 et SPIP 3.0.14. Si votre SPIP est en version 2.0.x ou 2.1.x nous vous conseillons de mettre à jour votre site car deux failles de sécurité ont été c= orrigées (merci à Guillaume Fahrner et au concombre masqué de nous les avoir signalées). Hélas ! Trois fois hélas, l'écran de sécurité n'est pas adapté= pour la correction de ces failles. D'ailleurs si vous êtes encore en version 2.0.x nous vous conseillons d'en profiter pour passer dans la branche 2.1.x : le saut de la branche 2.0 à la branche 2.1 n'est pas énorme et vous permet de rester sur un= e version maintenue. QUOI ! la version 2.0 ne va plus être maintenue ? Et oui, L'énergie débordante de l'équipe, se tourne vers l'avenir et le développement= de la branche 3.1. Lors de la sortie de cette version, le support de la branche 2.0 de SPIP *s'arrêtera*. Les branches 2.1 et 3.0 continueront à recevoir des mises à jour ! Comme il devient de coutume, une liste complète des modifications a é= té concoctée avec amour, abnégation et tendresse ! - Changements entre 3.0.13 et 3.0.14: http://www.spip.net/fr_article5663.html - Changements entre 2.1.24 et 2.1.25: http://www.spip.net/fr_article5665.html - Changements entre 2.0.23 et 2.0.24: http://www.spip.net/fr_article5664.html N'hésitez pas à parcourir ces pages pour y découvrir ce qui a chang= é. Nous y relevons par exemple: * une amélioration du support de PostGreSQL et des perfomances sous SQLite * de nombreuses corrections, améliorations et fermetures de bugs... Si vous constatez des problèmes, pensez à les communiquer en rédige= ant un "ticket" sur http://core.spip.org ! Nous rappelons à toutes et tous que le meilleur moyen pour signaler des= failles, ou des suspicions de failles est d’envoyer un email à spip-team@... . Si le cœur vous en dit, vous pouvez dès à présent commencer à *= tester* ( sur un site de *développement* ) cette nouvelle version 3.1: http://files.spip.org/spip/dev/SPIP-svn.zip Bon SPIP ! L'équipe SPIP Mise à jour =========== ** RAPPEL: si vous utilisez le plugin YAML et que vous metttez à jour depuis une version antérieure à SPIP 3.0.11, il *faut* mettre à jo= ur le plugin *avant* de mettre SPIP à jour. ** N’hésitez pas à utiliser les différents moyens mis à dispos= ition par la communauté pour obtenir de l’aide lors de cette mise à jour = : - Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip - Forum : http://forum.spip.net - IRC : http://irc.spip.net ** Comment mettre à jour vers SPIP 3.0.14 / 2.1.25 / 2.0.24 ? 1. par spip_loader.php : mettez à jour (ou installez) spip_loader, puis= rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP. Attention, lisez bien les instructions de http://www.spip.net/fr_download#spip_loader pour ne pas être surpris·e par un passage non voulu de SPIP 2 à SPIP 3 ! Si vous voulez rester en 2.0, indiquez le bon zip dans spip_loader.php : define('_CHEMIN_FICHIER_ZIP', 'spip/archives/SPIP-v2-0-24.zip'); 2. par copie des fichiers : - SPIP 3.0.14 est disponible à l’adresse http://files.spip.org/spip/stable/spip-3.0.zip - SPIP 2.1.25 est disponible à l'adresse http://files.spip.org/spip/stable/spip-2.1.zip - SPIP 2.0.24 est disponible à l'adresse http://files.spip.org/spip/archives/SPIP-v2-0-24.zip 3. par SVN : - si vous êtes dans la branche 3.0 : svn up svn:// trac.rezo.net/spip/branches/spip-3.0 La version 3.0.14 est aussi disponible sous la branche svn:// trac.rezo.net/spip/branches/spip-3-stable et sous le tag svn:// trac.rezo.net/spip/tags/spip-3.0.14 - si vous êtes dans la branche 2.1: svn up svn:// trac.rezo.net/spip/branches/spip-2.1 La version 2.1.25 est aussi disponible sous la branche svn:// trac.rezo.net/spip/branches/spip-2-stable et sous le tag svn:// trac.rezo.net/spip/tags/spip-2.1.25 - si vous êtes dans la branche 2.0 : svn up svn:// trac.rezo.net/spip/branches/spip-2.0 La version 2.0.24 est aussi disponible sous le tag svn:// trac.rezo.net/spip/tags/spip-2.0.24 ** Comment être tenu·e au courant de ces annonces ? Le plus simplement du monde en s’inscrivant sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann . Et puisqu'il le faut bien, les dits réseaux sociaux ne sont pas en reste (choisissez celui qui vous convient mais il est vrai qu'ils ne sont pas très actis ;) : - Twitter : http://twitter.com/spip - Facebook : http://www.facebook.com/spip.net - Google+: http://bit.ly/1ieO2h3 Et n'oubliez pas de bookmarker / suivre celui ci : - Seenthis : http://seenthis.net/tag/spip ========================== ========================== ======= Serveur de référence du CERT-Renater https://services.renater.fr/ssi/ ========================== ========================== ======== + CERT-RENATER | tel : 01-53-94-20-44 + + 23 - 25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email: cert@support.renater.fr + ========================== ========================== ========