Package: spip / 3.0.17-2+deb8u4
Metadata
Package | Version | Patches format |
---|---|---|
spip | 3.0.17-2+deb8u4 | 3.0 (quilt) |
Patch series
view the series filePatch | File delta | Description |
---|---|---|
0001 Fix created directories and files default rights.patch | (download) |
ecrire/inc_version.php |
2 1 + 1 - 0 ! |
fix created directories and files default rights MIME-Version: 1.0 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: 8bit |
0002 Use php html safe.patch | (download) |
plugins-dist/safehtml/inc/safehtml.php |
2 1 + 1 - 0 ! |
use php-html-safe MIME-Version: 1.0 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: 8bit Upstream use its own copy. |
0003 No next upstream version display in private area.patch | (download) |
ecrire/inc/presentation_mini.php |
4 3 + 1 - 0 ! |
no next upstream version display in private area No need to link to the next upstream version. |
0004 Fix displayed version in the private interface.patch | (download) |
ecrire/inc_version.php |
2 1 + 1 - 0 ! |
fix displayed version in the private interface MIME-Version: 1.0 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: 8bit Make it obvious its a Debian (patched) version. |
0005 Fix XSS in private content.patch | (download) |
ecrire/inc/texte.php |
7 7 + 0 - 0 ! |
fix xss in private content Bug: https://core.spip.net/issues/3371 |
0006 Fix XSS from iframe in private content.patch | (download) |
plugins-dist/textwheel/wheels/spip/echappe-js.php |
39 39 + 0 - 0 ! |
fix xss from iframe in private content Bug: https://core.spip.net/issues/1994, https://core.spip.net/issues/1998 |
0007 Fix objects injection via unserialize.patch | (download) |
ecrire/inc/filtres.php |
22 17 + 5 - 0 ! |
fix objects injection via unserialize Bug: https://core.spip.net/issues/3680 |
0008 Increase sanitizing to fix PHP code injection.patch | (download) |
ecrire/inc/filtres.php |
13 13 + 0 - 0 ! |
increase sanitizing to fix php code injection |
0009 Update security screen.patch | (download) |
config/ecran_securite.php |
216 145 + 71 - 0 ! |
update security screen |
0010 Report de r23063 Sanitizer controler les entree four.patch | (download) |
ecrire/exec/valider_xml.php |
21 20 + 1 - 0 ! |
report de r23063 : sanitizer/controler les entree fournies a valider_xml_ok (Thomas Chauchefoin) |
0011 ne pas permettre n importe quoi en url de site Tim C.patch | (download) |
plugins-dist/forum/formulaires/forum_prive.php |
4 4 + 0 - 0 ! |
ne pas permettre n'importe quoi en url de site (tim coen) |
0012 Report de r23151 Eviter d accepter n importe quoi da.patch | (download) |
ecrire/index.php |
8 8 + 0 - 0 ! |
report de r23151 : eviter d'accepter n'importe quoi dans les redirect de l'espace prive (Tim Coen) |
0013 l URL de rappel de mot de passe doit etre une URL sa.patch | (download) |
squelettes-dist/formulaires/oubli.php |
4 3 + 1 - 0 ! |
l'url de rappel de mot de passe doit etre une url safe, on la force sur l'adresse_site parametree dans la configuration du site |
0014 Eviter des illegal offset si l utilisateur n est pas.patch | (download) |
ecrire/inc/minipres.php |
8 6 + 2 - 0 ! |
=?utf-8?b?rxzpdgvyigrlcyaiawxszwdhbcbvzmzzzxqiihnpigwndxrpbglzyxrl?= =?utf-8?b?dXIgbidlc3QgcGFzIGNvbm5lY3TDqSAoZMOpasOgIGNvcnJpZ8OpIGVuIDMuMSku?= |
0015 Fix 3831 report de r23141 et r23148.patch | (download) |
ecrire/inc/minipres.php |
4 4 + 0 - 0 ! |
fix #3831 : report de r23141 et r23148 |
0016 Report de r23179 ne pas afficher l url brute venant .patch | (download) |
ecrire/exec/valider_xml.php |
2 1 + 1 - 0 ! |
report de r23179 : ne pas afficher l'url brute venant de la request (Nicolas CHATELAIN) |
0017 Report de r23180 pas d url absolue dans var_url Nico.patch | (download) |
ecrire/exec/valider_xml.php |
1 1 + 0 - 0 ! |
report de r23180 : pas d'url absolue dans var_url (nicolas CHATELAIN) Oritin: upstream, https://core.spip.net/projects/spip/repository/revisions/23184 |
0018 Report de r23185 Eviter aussi les urls absolues wind.patch | (download) |
ecrire/exec/valider_xml.php |
16 7 + 9 - 0 ! |
report de r23185 : eviter aussi les urls absolues windows c:\xxx et supprimer le onfocus obsolete au profit d'un placholder innofensif (Nicolas Chatelain) |
0019 Report de r23186 echapper les guillemets dans les no.patch | (download) |
ecrire/public/compiler.php |
4 2 + 2 - 0 ! |
report de r23186 : echapper les guillemets dans les noms de fichier pour ne pas generer du code invalide (Nicolas Chatelain) |
0020 Report de r23200 exec valider_xml n est executable q.patch | (download) |
ecrire/exec/valider_xml.php |
96 69 + 27 - 0 ! |
report de r23200 : - ?exec=valider_xml n'est executable que par les webmestres - var_url ne doit pas contenir de ../../ ni de ..\..\ (windows) - elle ne lance une action que si on a un var_token qui correspond soit a la signature de l'action en POST soit a la signature de l'action+var_url en GET. Ceci evite de faire lancer le validateur par un lien malveillant fourni a un webmstre d'un site auquel on a pas acces (CSRF) (Nicolas Chatelain) |
0021 Fix 3845 s curiser les exec info_plugin et puce_stat.patch | (download) |
ecrire/exec/info_plugin.php |
2 1 + 1 - 0 ! |
=?utf-8?q?fix_=233845_=3a_s=c3=a9curiser_les_exec_info=5fplugin_et?= =?utf-8?q?_puce=5Fstatut?= MIME-Version: 1.0 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: 8bit merci felixk3y de PKAV Team pour le signalement |
0022 Fix 3847 s curiser exec plonger.patch | (download) |
ecrire/exec/plonger.php |
2 1 + 1 - 0 ! |
=?utf-8?q?fix_=233847_=3a_s=c3=a9curiser_exec_plonger?= MIME-Version: 1.0 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: 8bit merci xiaoL pour le signalement |
0023 chapper le contenu de l ent te.patch | (download) |
ecrire/public/balises.php |
4 2 + 2 - 0 ! |
=?utf-8?q?=c3=a9chapper_le_contenu_de_l=27ent=c3=aate?= |
0024 Report de r23696 Securiser l URL qu on insere sur le.patch | (download) |
ecrire/public/assembler.php |
4 4 + 0 - 0 ! |
report de r23696 : securiser l'url qu'on insere sur les ancres en url arborescentes (xdjuj) |
0025 Report de r23707 Securiser les URLs renvoyees par se.patch | (download) |
ecrire/inc/utils.php |
2 2 + 0 - 0 ! |
report de r23707 : securiser les urls renvoyees par self() et #self qui sont souvent reinjectees dans le HTML (Jarrod Farncomb) |
0026 Report de r23710 Echapper le charset dans le message.patch | (download) |
prive/formulaires/configurer_transcodeur.php |
2 1 + 1 - 0 ! |
report de r23710 : echapper le charset dans le message d'erreur (Jarrod Farncomb) |
0027 Report de r23713 Permettre de passer le mode de filt.patch | (download) |
ecrire/inc/texte.php |
25 17 + 8 - 0 ! |
report de r23713 : permettre de passer le mode de filtrage en second argument de interdire_script, et on utilise la valeur de la globale sinon (comportement par defaut inchange) |
0028 Report de r23716 Pas de onclick ni de popup JS dans .patch | (download) |
ecrire/inc/presentation_mini.php |
2 1 + 1 - 0 ! |
report de r23716 : pas de onclick ni de popup js dans le pied de page |
0029 Report de r23752 On ajoute sur le lien du pied de pa.patch | (download) |
ecrire/inc/presentation_mini.php |
2 1 + 1 - 0 ! |
=?utf-8?q?report_de_r23752_=3a_on_ajoute_sur_le_lien_du_pied_de_pa?= =?utf-8?q?ge_priv=C3=A9_un_attribut_rel_=28noopener_noreferrer=29?= |
0030 Report de r23908 Prise en compte amelioree du flag p.patch | (download) |
ecrire/exec/valider_xml.php |
21 13 + 8 - 0 ! |
report de r23908 : prise en compte amelioree du flag process |