Une nouvelle version de maintenance qui corrige deux potentielles failles de sécurité sur l'authentification XML-RPC et sur l'ordonnancement des catégories. Nous en profitons pour remercier Egidio Romano qui nous a alerté il y a deux jours à ce propos.
Il nous a également alerté sur la possibilité d'envoyer et de faire exécuter dans le dossier des médias un script PHP. Dotclear ne peut pas garantir complètement ce genre de défaut et il faut veiller à ne pas laisser de tel fichiers dans vos médias, ou, si c'est important, d'éviter qu'ils soient exécutables. Pour ce faire plusieurs techniques existent et dépendent essentiellement de l'hébergeur et du logiciel serveur.
Pour Apache, par exemple, un fichier .htaccess placé dans le dossier public et contenant la directive suivante permet de l'éviter :
php_flag engine off
La proposition de mise à jour de votre installation devrait apparaître sur votre tableau de bord aujourd'hui ou demain (selon les réglages de votre hébergement) et un patch est disponible pour les développeurs préférant appliquer cette méthode.