2016 août 15
Par Franck - News - Lien permanent
Une petite mise à jour qui corrige un problème qui empêche l'affichage correct de l'administration pour les nouvelles installations (les mises à jour ne sont pas concernées), une application un peu trop stricte des CSP (Content-Security-Policies) en est la cause, signe que cette protection est efficace !
La proposition de mise à jour de votre installation devrait apparaître sur votre tableau de bord aujourd'hui ou demain (selon les réglages de votre hébergement) et un patch est disponible pour les développeurs préférant appliquer cette méthode.
Commentaires
Je constate que depuis la version 2.10 les patches ne sont plus fonctionnels. À chaque fois j'ai un problème de permissions :
patching file admin/install/index.php
patch: **** Failed to set the owner of file admin/install/index.php.o2RjvkM : Permission denied
L'installation s'est faite par SSH et les mises à jour se font régulièrement par le système de patch. Je n'ai pas modifié les permissions sur mes fichiers.
Bizarre ! Je viens de récupérer le diff, et le début (qui concerne ce fichier) a l'air ok :
diff -urN 2.10/admin/install/index.php 2.10.1/admin/install/index.php
--- 2.10/admin/install/index.php 2016-08-13 13:32:29.000000000 +0200
+++ 2.10.1/admin/install/index.php 2016-08-15 09:36:17.000000000 +0200
@@ -171,10 +171,10 @@
# CSP directive (admin part)
$blog_settings->system->put('csp_admin_on',true,'boolean','Send CSP header (admin)',true,true);
- $blog_settings->system->put('csp_admin_default',"\'self\'",'string','CSP default-src directive',true,true);
- $blog_settings->system->put('csp_admin_script',"\'self\' \'unsafe-inline\' \'unsafe-eval\'",'string','CSP script-src directive',true,true);
- $blog_settings->system->put('csp_admin_style',"\'self\' \'unsafe-inline\'",'string','CSP style-src directive',true,true);
- $blog_settings->system->put('csp_admin_img',"\'self\' data: media.dotaddict.org",'string','CSP img-src directive',true,true);
+ $blog_settings->system->put('csp_admin_default',"'self'",'string','CSP default-src directive',true,true);
+ $blog_settings->system->put('csp_admin_script',"'self' 'unsafe-inline' 'unsafe-eval'",'string','CSP script-src directive',true,true);
+ $blog_settings->system->put('csp_admin_style',"'self' 'unsafe-inline'",'string','CSP style-src directive',true,true);
+ $blog_settings->system->put('csp_admin_img',"'self' data: media.dotaddict.org",'string','CSP img-src directive',true,true);
# Add Dotclear version
$cur = $core->con->openCursor($core->prefix.'version');
Je testerai demain pour en avoir le cœur net…
Bon je viens de faire le test à partir d'une 2.10 toute neuve et pas de souci pour patcher en 2.10.1
Du coup je vois pas trop comment aider !
De mon côté j'ai également testé le patch, et il semble correct (je suis passé d'une version 2.9 à 2.10.1 sans aucun souci). Je vais voir du côté de mon hébergeur, merci en tout cas.