SPIP 2.1.6
Par Ben., lundi 3 janvier 2011 à 10:48 :: SPIP ::#567
SPIP 2.1.6 est sortie
Cette nouvelle version corrige divers problèmes de sécurité.
Ces bugs pouvaient permettre à un rédacteur du site de modifier la
configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).
Ils nous ont été signalés par Eric Seguinard, l’organisateur du concours
pirate-moi, et Matsuyama qui l’a gagné. Nous les remercions pour cela.
La version 2.1.6 corrige aussi quelques petits soucis mineurs :
sur la messagerie interne en cas de l’absence du plugin « champs extras ». l’info de mise à jour pouvait indiquer plusieurs nouvelles versions de SPIP des erreurs de compilation ne s’affichaient plus utilisation de LIKE en SQLite année 0000 en Postgresql amélioration de la détection de l’existence d’une table gestion d’un champ titre générique pour les urls
Commentaires
Bonjour,
Quelles sont les versions de SPIP concernées par ce problème de sécurité ?
Une mise à jour de l’écran de sécurité suffit-il ?
Salut, oui la mise à jour de l’écran de sécurité suffit comme indiqué dans l’annonce de sortie sur contrib :
http://www.spip-contrib.net/SPIP-2-1-6
++
Il semble que Wordpress connait aussi des problèmes de sécurité du même genre. Mais depuis plusieurs semaines, aucun patch ne permet de colmater la faille.
Une seule mise-à-jour semble suffire pour corriger celle de spip...
Mis à part l’immense compétence et le talent des développeurs spip, comment cela s’explique t’il ?
Y a t’il un spécialiste qui veut bien prendre quelques minutes pour comparer les 2 situations ?
Merci d’avance.