===================================================================== CERT-Renater Note d'Information No. 2024/VULN028 _____________________________________________________________________ DATE : 12/01/2024 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running SPIP versions prior to 4.2.8, 4.1.14. ===================================================================== https://blog.spip.net/Mise-a-jour-de-maintenance-et-securite-sortie-de-SPIP-4-2-8-SPIP-4-1-14.html _____________________________________________________________________ Mise à jour de maintenance et sécurité :  sortie de SPIP 4.2.8, SPIP 4.1.14 jeudi 11 janvier 2024, par La team Ces nouvelles versions corrigent certains bugs et une petite faille de sécurité de type XSS. Un grand merci à Daniel Barros pour le signalement. SPIP version 4.2.8 La version 4.2.8 améliore un petit point de sécurité sur le nom des fichiers uploadés à l’aide de bigup afin d’éviter une faille de type XSS. Elle apporte les améliorations ou corrections de bugs suivantes : HTML valide pour le formulaire configurer_redacteurs bigup éviter une XSS basée sur le nom des fichiers uploadés ajout d’une vue de la saisie, pour utilisation en saisie PHP avec le plugin utiliser des button au lieu de span dans le formulaire d’upload forum ne pas appliquer l’effet sticky du bloc d’actions en masse de la page controler_forum sur petit écran medias option masquer pour masquer en tout ou partie la légende. Valeurs possibles (séparées par une virgule) : legende, titre, descriptif, credits ajout d’un génie pour supprimer les fichiers trop vieux du répertoire tmp/upload petit ajout afin d’activer un diaporama sur la modale des images dans la médiathèque réparer la fonction Joindre un fichier Zip depuis tmp/upload rétablir la suppression du numéro sur le titre dans la légende des documents bien prendre en compte les éventuelles largeur & hauteur passées au modèle lors de l’insertion d’une image SVG sites lever l’ambiguïté sur les balises simples des url() accepter le format SVG pour la récupération automagique du logo d’un site syndiqué statistiques limiter la hauteur du graphique de statistiques SPIP version 4.1.14 La version 4.1.14 intègre uniquement le correctif de sécurité sur le nom des fichiers uploadés à l’aide de bigup. Mettre à jour en utilisant le spip_loader Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 6.1.3). Le spip_loader est maintenant distribué à l’adresse suivante : https://get.spip.net/ Le fichier spip_loader.php est un script compilé dans un format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html). Résumé des versions de SPIP Branche Version Suivi Compatibilité PHP SPIP 4.2 SPIP 4.2.8 Maintenance active PHP 7.4 à PHP 8.2 SPIP 4.1 SPIP 4.1.14 Correctifs de sécurité seulement PHP 7.4 à PHP 8.1 Pour connaître le détail des versions maintenues : https://www.spip.net/fr_article6500.html Comment être tenu au courant de ces annonces ? C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13 Bien sûr, les réseaux sociaux sont de la partie : Seenthis : https://seenthis.net/people/spip Facebook : https://www.facebook.com/spip.net Mamot : https://mamot.fr/@spip Une question, besoin d’aide ? En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net Vous pouvez aussi poster un message et échanger sur : La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6 La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5 Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net. ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + =========================================================