[Spip-lille] Fwd: [oss-security] CVE Request: multiple vulnerabilities in spip

From : daffyduke@... , the 11th November 2013 01:11
  • 2013-11-11 01:11:42 — daffyduke@... - [Spip-lille] Fwd: [oss-security] CVE Request: multiple vulnerabilities in spip

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 pour info, vu qu'il y a des spipeurs par ici ... - --  Olivier Duquesne aka DaffyDuke http://www.coincoin.fr.eu.org -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iEYEARECAAYFAlKAIL4ACgkQRjQjk2P2DCyTKwCgqnJUwKknIQ6nztNBQ618l28Q SgUAni7cPzLo6wnI1OjOTGE3QXy3KbXV =kGU2 -----END PGP SIGNATURE----- Hi (Cc'ing David Prévot, maintainer in Debian for the spip package; I'm not a native french speaker, so he might help get it right) Upstream for SPIP, a website engine for publishing fixed the following issues in their upstream release for 2.1.24 (and 3.0.12):  - cross-site request forgery on logout. The patch adds a confirmation    button when loggin out.    commit for 2.1.24: http://core.spip.org/projects/spip/repository/revisions/20874    3.0.x did not contain the fix, and is probably not affected (David    can you confirm?)  - cross-site scripting on author page:    commit for 2.1.24: http://core.spip.org/projects/spip/repository/revisions/20880    commit for 3.0.12: http://core.spip.org/projects/spip/repository/revisions/20879  - updates the security screen for possible php injection (updates the    "Écran de sécurité" to version 1.1.8):    commit: http://zone.spip.org/trac/spip-zone/changeset/75105/_core_/securite/ecran_securite.php References:  - http://bugs.debian.org/729172  - http://www.spip.net/fr_article5646.html (2.1.24; french)  - http://www.spip.net/fr_article5648.html (3.0.12; french) Regards, Salvatore