L'équipe de développement du noyau Xoops vient de publier une nouvelle version appelée 2.0.13.2.

Elle est destinée principalement à renforcer la sécurité de votre site puisqu'elle a pour objectif les corrections suivantes :

- protection contre les injections dans les en-têtes de mails
- protection contre les boucles sans fin dans PHPMailer
- protection contre les attaques XSS dans le sanitizer
- protection contre les attaques XSS dans le forum newbb et le système de commentaires
- Vaporfix (Si quelqu'un peut me traduire vaporfix)pour prévenir l'upload d'images invalides (remerciements à xoopscube)

Le site officiel Xoops.org, qui vient de réouvrir après quelques jours de fermeture forcée, tient à préciser que les correctifs publiés dans cette version ne correspondent pas à des failles exploitées par celui qui a pénétré sur leur site.


Si vous souhaitez plus d'informations sur la définition des attaques XSS, je vous propose la lecture de cet article de PHP Solutions publié par le Journal du Net.

Voici une traduction de la news postée par skalpa ICI, qui concerne la publication d'un patch de sécurité dans les branches 2.0.x et 2.2.x. Devant la recrudescence actuelle des hacks (c'est de tradition en été), nous vous conseillons de mettre à jour vos sites au plus vite vers l'une de ces deux dernières versions (voir ci-dessous nos conseils en terme de choix).

Nous avons récemment pris conscience d'un problème potentiel avec certain fichiers XOOPS pouvant révéler les chemins physiques d'un serveur lorsqu'on tente d'accéder directement à ces fichiers depuis le navigateur.

Traduction de l'annonce effectuée ce jour par skalpa sur xoops.org

L'équipe de Développement XOOPS vous annonce la disponibilité immédiate de XOOPS 2.2.1.

Cette version de maintenance corrige différents problèmes identifiés après la sortie de la version XOOPS 2.2 dont une faille de sécurité critique, en conséquence tous les utilisateurs de XOOPS 2.2 sont fermement encouragés à migrer vers cette version dès que possible.

NDLR : Par contre, XOOPS France vous conseille toujours de ne pas trop vous presser à migrer de la 2.0.x(2.0.13) à la 2.2, d'autres bugs continuant à être trouvés, et tous les modules basiques compatibles 2.2 n'étant pas encore disponibles à cette heure. Laissez à la communauté le temps d'avoir un peu d'expérience sur cette nouvelle version !

La version Xoops 2.2 "finale" est sortie depuis quelques jours déjà, et nous avons pensé qu'une présentation un peu plus détaillée de celle-ci pourrait vous être agréable.

Téléchargements

Les fichiers disponibles sur notre site sont les suivants :
Xoops 2.2FR (format zip) cette version comporte le langage français et le correctif de sécurité qui a été publié le 28/07/2005.
Ce correctif ne concerne que les versions 2.2 uniquement/
Ceux qui effectuent une mise à jour à partir d'une version 2.0.13 devront télécharger et installer les trois fichiers ci-dessous :
Xoops 2.0.13 vers 2.2 (format zip)
Fichiers français pour ceux qui effectuent une mise à jour d'une 2.0.13 (format zip)
Correctif de sécurité du 28/07/2005
Afin de vous rassurer sur la méthode, Kris vous a préparé un tutorial en flash sur cette mise à jour

L'équipe de développement du noyau de XOOPS présente, ce qu'elle espère être la dernière version candidate avant la publication d'une version stable de Xoops 2.2.

Cette version fixe plusieurs bugs rencontrés dans la version précédente. Une des particularités de cette version concerne les informations à fournir pour s'inscre sur un site xoops. Dorénavant l'inscription nécessite de fournir les éléments suivants :

• une adresse email
• un nom, c'est celui qui sera affiché comme nom d'auteur pour un article, une contribution dans un forum
• un pseudo, qui ne servira uniquement que pour la connexion sur le site
• un mot de passe à saisir deux fois