=====================================================================
                                 CERT-Renater
                      Note d'Information No. 2023/VULN242
_____________________________________________________________________
DATE                : 11/07/2023
HARDWARE PLATFORM(S): /
OPERATING SYSTEM(S): Systems running SPIP versions prior to 4.2.4,
                                       4.1.11.
=====================================================================
https://blog.spip.net/Mise-a-jour-de-maintenance-et-securite-sortie-de-SPIP-4-2-4-SPIP-4-1-11.html
_____________________________________________________________________
Mise à jour de maintenance et sécurité :  sortie de SPIP 4.2.4,
SPIP 4.1.11

vendredi 7 juillet 2023, par La team
Ces nouvelles versions corrigent certains bugs et un petit point de
sécurité.

SPIP version 4.2.4
La version 4.2.4 améliore un petit point de sécurité en utilisant
une fonction auth_desensibiliser_session() pour centraliser le
filtrage des données d’authentification des auteurs effectué à
différents endroits.
Elle apporte aussi les nouveautés ou corrections de bugs suivantes :
     les filtres de transformation de texte acceptent une valeur null
     éviter un Call to undefined function session_get
     correction typage arguments de objet_type, table_objet et
table_objet_sql
     prévenir une ambiguité de certains squelettes (pour préparer
SPIP 5) sur les balises simples utilisant url(#BALISE). Utiliser
url("#BALISE") ou url\(#BALISE)
     éviter une erreur fatale quand un job ne peut pas récupérer
les arguments de la callback associée
     éviter une fatale sur le retour non booléen des fonctions
autoriser() pour aider à nettoyer le code
     éviter un warning dans ecrire quand un lien pointe vers un
document inexistant
     quand une URL de redirection contient une query-string avec
des crochets, les encoder pour générer l’URL affichée
     éviter un warning lors du changement de langue d’une rubrique
     lien vers l’URL/mail de suivi éditorial suivant le format
     inconsistance dans l’UX et le label de l’adresse d’inscription
au suivi éditorial
     optimisation pour latex & math
     ne pas considérer un texte malicieux s’il a simplement une
entité html
     éviter une fatale en utilisant charger_fonction() sur une
fonction inexistante, dans un fichier d’options
     mediabox
         éviter de confondre les URLs /File:.....(svg|png|jpg) de
wikipedia avec des images
     mots
         correction de mots_qualifier() qui appelait une fonction
inconnue
     textwheel
         ne pas perdre les raccourcis <quote> <poesie> et <poetry>
         mieux gérer les backticks de code (lorsqu’il y a une balise
ouvrante dedans)
À noter : le support actif de la branche 4.2 a été prolongé
jusqu’au 23 janvier 2024 et celui des correctifs de sécurité jusqu’au 23
février 2025.

SPIP version 4.1.11
La version 4.1.11 intègre le petit correctif de sécurité en limitant
les données d’authentification des auteurs et intègre quelques
corrections de bugs :
     les filtres de transformation de texte acceptent une valeur null
     éviter un Call to undefined function session_get
À noter : le support des correctifs de sécurité de la branche 4.1
a été prolongé jusqu’au 23 janvier 2024.

Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version du
spip_loader (version 6.1.2).
Le spip_loader est maintenant distribué à l’adresse suivante :
https://get.spip.net/
Le fichier spip_loader.php est un script compilé dans un format binaire
phar. Si vous avez besoin de personnaliser l’installation en définissant
des constantes, il vous faut créer un fichier de configuration
spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP
Branche  Version  Suivi    Compatibilité PHP
SPIP 4.2         SPIP 4.2.4       Maintenance active       PHP 7.4 à PHP 8.2
SPIP 4.1         SPIP 4.1.11      Correctifs de sécurité seulement
                  PHP 7.4 à PHP 8.1
Les versions SPIP 4.0 et antérieures ne sont plus maintenues.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste
https://discuter.spip.net/c/spip-ann/13
Bien sûr, les réseaux sociaux sont de la partie :
     Seenthis : https://seenthis.net/people/spip
     Twitter : https://twitter.com/spip
     Facebook : https://www.facebook.com/spip.net
     Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, il y aura certainement
quelqu’un pour vous aider sur IRC, N’hésitez pas à venir
poser vos questions https://irc.spip.net
Vous pouvez aussi poster un message et échanger sur :
     La liste des utilisateurs et utilisatrices
https://discuter.spip.net/c/spip/6
     La liste du développement spip-dev
https://discuter.spip.net/c/spip-dev/5
Nous vous rappelons que pour signaler une faille, il suffit
d’envoyer un mail à spip-team@rezo.net.

=========================================================
+ CERT-RENATER        |    tel : 01-53-94-20-44         +
+ 23/25 Rue Daviel    |    fax : 01-53-94-20-41         +
+ 75013 Paris         |   email:cert@support.renater.fr +
=========================================================