Mise à jour critique de sécurité :  sorties de SPIP 4.0.4 et SPIP 3.2.13

, par denis

Suite au signalement d’une faille critique de sécurité, nous publions une version 4.0.4 ainsi qu’une version 3.2.13 de maintenance.

SPIP 4.0.4

Cette version SPIP 4.0.4 corrige une faille critique qui permettait une exécution arbitraire de code PHP. Merci à g0uZ pour le signalement :)

Autres corrections

ne pas pouvoir modifier son login en tant que rédacteur (g0uZ)
bien appliquer des header silencieux (qui n’indiquent pas la version de SPIP) quand la configuration le demande (notons que ça n’empêche pas de pouvoir déterminer par d’autres procédés la version de SPIP utilisée)

L’écran de sécurité ne couvre pas cette faille, il est donc indispensable de mettre à jour.

SPIP 3.2.13

Les versions antérieures de la branche 3.2 ne sont pas affectées par la faille signalée. Cependant, nous publions la version 3.2.13 qui corrige les autres points, ainsi que certains bugs :

ne pas pouvoir modifier le login en tant que rédacteur (g0uZ)
bien appliquer des header silencieux (qui n’indiquent pas la version de SPIP) quand la configuration le demande
rétablir le traitement _TRAITEMENT_TYPO_SANS_NUMERO (multi, supprimer_numero, etc) sur la balise #NOM des auteurs
prise en charge des fichier .jpeg lors de l’ajout d’un document distant

Voir en ligne : Blog Spip

Services

Hébergement - Mails - Listes de diffusions - Pads - Clouds - Outils collaboratifs - Gitlab - ...

Nos Services

Voir les tarifs