Aujourd'hui, les médecins m'ont appris que je n'étais pas malade (enfin, pas trop. C'est gérable, je veux dire.) Du coup, je me suis dit qu'il fallait fêter ça et hop : voici la version 2.3.1 de Dotclear. Au menu, amoureusement concocté par votre équipe favorite : pas de grand changements, sinon on aurait appelé ça Dotclear 2.4. Mais tout de même :

  • On a nettoyé un peu mieux la distrib des fichiers de développement qui gênaient la mise à jour automatique sur certains serveurs un peu difficiles.
  • on a corrigé le problème de gestion de la langue des favoris sur les blogs installés en multilingue (vous pouvez avoir à la réinitialiser.)
  • Quelques nettoyages des feuilles de style et bibliothèques javascript.
  • Correction d'un bug relatif aux favoris qu'on pouvait rencontrer lors de certaines importations/exportations.
  • L'adresse email émettrice des message de réinitialisation du mot de passe est maintenant configurable.
  • Correction d'une faille de sécurité possible sur certains serveurs, et deux autres améliorations de sécurité, découvertes par Jérémie Boutoille.

À propos de ces deux derniers points :

À l'installation de cette nouvelle version, l'adresse email en question est déterminée automatiquement en fonction de l'adresse où Dotclear est installée. Lors d'une mise à jour, par contre, pour des raisons de sécurité, cette adresse n'est pas créée. Vous pouvez la configurer en ajoutant la ligne suivante à votre fichier inc/config.php :

define('DC_ADMIN_MAILFROM','dotclear@adressequevousvoulez.com');

Si vous ne faites pas cette modification, Dotclear continuera à fonctionner. Vous courrez simplement plus le risque de voir les mails de réinitialisation de mot de passe être avalés par les filtres à spam.

En ce qui concerne les modifications de sécurité, il y en a deux qui ne sont pas des failles en l'état actuel des choses, mais qui auraient pu le devenir si nous avions fait certain développements sans y faire attention. La troisième, qui aurait pu permettre de récupérer un accès administrateur à vos blogs, n'est heureusement exploitable que sur un type de configuration serveur minoritaire. Mais vous êtes quand-même encouragés à faire la mise à jour : mieux vaut prévenir que guérir, après tout.

Nous tenons tout particulièrement à remercier l'équipe du concours Pirate-moi, qui a choisi de mettre Dotclear à l'épreuve, Jérémie, qui nous a communiqué la faille potentielle et les endroits où nous pouvions renforcer la sécurité, et bien sûr tous les participants du concours qui n'ont pas réussi à craquer Dotclear. Ce n'est pas la preuve qu'il n'est pas piratable, mais c'est un indicateur qu'en terme de sécurité, il n'a pas à rougir.