Package: spip / 3.1.4-4~deb9u1

Metadata

Package Version Patches format
spip 3.1.4-4~deb9u1 3.0 (quilt)

Patch series

view the series file
Patch File delta Description
0001 Fix created directories and files default rights.patch | (download)

ecrire/inc_version.php | 2 1 + 1 - 0 !
plugins-dist/svp/teleporter/http_deballe_zip.php | 2 1 + 1 - 0 !
2 files changed, 2 insertions(+), 2 deletions(-)

 fix created directories and files default rights
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

0002 Use php html safe.patch | (download)

plugins-dist/safehtml/inc/safehtml.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 use php-html-safe
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Upstream use its own copy.

0003 No next upstream version display in private area.patch | (download)

ecrire/inc/presentation_mini.php | 21 1 + 20 - 0 !
1 file changed, 1 insertion(+), 20 deletions(-)

 no next upstream version display in private area

No need to link to the next upstream version.

0004 Fix displayed version in the private interface.patch | (download)

ecrire/inc_version.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 fix displayed version in the private interface
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Make it obvious it’s a Debian (patched) version.

0005 Use getid3 class from the php getid3 package.patch | (download)

plugins-dist/medias/metadata/video.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 use getid3 class from the php-getid3 package


0006 Fix 3845 s curiser les exec info_plugin et puce_stat.patch | (download)

ecrire/exec/info_plugin.php | 2 1 + 1 - 0 !
ecrire/exec/puce_statut.php | 4 2 + 2 - 0 !
2 files changed, 3 insertions(+), 3 deletions(-)

 =?utf-8?q?fix_=233845_=3a_s=c3=a9curiser_les_exec_info=5fplugin_et?=
 =?utf-8?q?_puce=5Fstatut?=
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

merci à felixk3y de PKAV Team pour le signalement

0007 Fix 3847 s curiser exec plonger.patch | (download)

ecrire/exec/plonger.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 =?utf-8?q?fix_=233847_=3a_s=c3=a9curiser_exec_plonger?=
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

merci à xiaoL pour le signalement

0008 Non ex cutable.patch | (download)

0 files changed

 =?utf-8?q?non_ex=c3=a9cutable=2e?=

0009 Report de r23590 Utiliser des simples quotes dans la.patch | (download)

ecrire/inc/filtres.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 report de r23590 : utiliser des simples quotes dans la fonction
 anonyme, c'est preferable

0010 Report de r23591 Meilleure sanitization du host pour.patch | (download)

ecrire/inc_version.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 report de r23591: meilleure sanitization du host pour eviter des
 choses exotiques

0011 Update security screen.patch | (download)

config/ecran_securite.php | 43 32 + 11 - 0 !
1 file changed, 32 insertions(+), 11 deletions(-)

 update security screen


0012 Report de r23605 ne pas indiquer la version de PHP d.patch | (download)

ecrire/inc/plugin.php | 5 4 + 1 - 0 !
1 file changed, 4 insertions(+), 1 deletion(-)

 report de r23605 : ne pas indiquer la version de php dans les
 headers.

0013 Report de r23696 Securiser l URL qu on insere sur le.patch | (download)

ecrire/public/assembler.php | 4 4 + 0 - 0 !
1 file changed, 4 insertions(+)

 report de r23696 : securiser l'url qu'on insere sur les ancres en
 url arborescentes (xdjuj)

0014 Report de r23707 Securiser les URLs renvoyees par se.patch | (download)

ecrire/inc/utils.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 report de r23707 : securiser les urls renvoyees par self() et #self
 qui sont souvent reinjectees dans le HTML (Jarrod Farncomb)

0015 Report de r23710 Echapper le charset dans le message.patch | (download)

prive/formulaires/configurer_transcodeur.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 report de r23710 : echapper le charset dans le message d'erreur
 (Jarrod Farncomb)

0016 Report de r23713 Permettre de passer le mode de filt.patch | (download)

ecrire/inc/texte.php | 25 16 + 9 - 0 !
1 file changed, 16 insertions(+), 9 deletions(-)

 report de r23713 : permettre de passer le mode de filtrage en second
 argument de interdire_script,
 et on utilise la valeur de la globale sinon (comportement par defaut
 inchange)

0017 Report de r23716 Pas de onclick ni de popup JS dans .patch | (download)

ecrire/inc/presentation_mini.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 report de r23716 : pas de onclick ni de popup js dans le pied de
 page

0018 Report de r23724 Fix 3598 3731 3850 quelques echappe.patch | (download)

ecrire/inc/informer.php | 6 4 + 2 - 0 !
ecrire/install/etape_chmod.php | 4 2 + 2 - 0 !
2 files changed, 6 insertions(+), 4 deletions(-)

 report de r23724 : fix #3598 #3731 #3850 : quelques echappements
 manquants

0019 Report de r23719 Les arguments passes a _T et _L son.patch | (download)

ecrire/inc/utils.php | 8 8 + 0 - 0 !
1 file changed, 8 insertions(+)

 report de r23719 : les arguments passes a _t() et _l() sont
 securises car ce sont souvent des contenu utilisateurs affiches (Jarrod
 Farncomb)

0020 Report de r23731 Suite de r23719 les fonctions _T et.patch | (download)

ecrire/inc/utils.php | 28 18 + 10 - 0 !
1 file changed, 18 insertions(+), 10 deletions(-)

 report de r23731 : suite de r23719 : les fonctions _t et _l prennent
 une option sanitize qui par defaut vaut true pour dire qu'on veut nettoyer
 le html suspect des arguments des chaines de langue passer cette option a
 false permet de debrayer ce nettoyage pour les cas ou ils poserait probleme
 (exceptions)

0021 Report de r23732 Les arguments des chaines de langue.patch | (download)

ecrire/inc/filtres.php | 6 5 + 1 - 0 !
1 file changed, 5 insertions(+), 1 deletion(-)

 report de r23732 : les arguments des chaines de langue utilises dans
 le filtre affdate_debut_fin sont surs,
 on peut desactiver la sanitization de _T qui se declenche betement sur le
 abbr du microformat

0022 Report de r23701 3371 suite de r22428 on complete la.patch | (download)

ecrire/inc/texte_mini.php | 17 15 + 2 - 0 !
ecrire/lang/ecrire_fr.php | 1 1 + 0 - 0 !
prive/objets/contenu/auteur.html | 2 1 + 1 - 0 !
3 files changed, 17 insertions(+), 3 deletions(-)

 report de r23701 : #3371 (suite de r22428) on complete la fonction
 echapper_html_suspect pour permettre de l'appeler sur du contenu qui passe
 par propre sans declencher trop de faux positif en lui ajoutant un argument
 $strict + appel de la fonction en filtre dans l'affichage de #PGP + chaine
 de langue pour signaler le texte mal forme quand on l'echappe (et du coup on
 integre un emoji unicode dans le code pour afficher un signe warning qui
 porte le message en title)

0023 Report de r23752 On ajoute sur le lien du pied de pa.patch | (download)

ecrire/inc/presentation_mini.php | 2 1 + 1 - 0 !
1 file changed, 1 insertion(+), 1 deletion(-)

 =?utf-8?q?report_de_r23752_=3a_on_ajoute_sur_le_lien_du_pied_de_pa?=
 =?utf-8?q?ge_priv=C3=A9_un_attribut_rel_=28noopener_noreferrer=29?=

Origin, upstream: https://core.spip.net/projects/spip/repository/revisions/23754

0024 Report de r23908 Prise en compte amelioree du flag p.patch | (download)

ecrire/exec/valider_xml.php | 21 13 + 8 - 0 !
1 file changed, 13 insertions(+), 8 deletions(-)

 report de r23908 : prise en compte amelioree du flag process