Suite au signalement d’une faille de sécurité dans le code de SPIP, nous sortons une nouvelle version dans toutes les branches maintenues : SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.
Cette faille est critique et permet l’exécution arbitraire de PHP.
Il est vivement conseillé de mettre à jour sa version de SPIP et de tous ses plugins, notamment si vous utilisez le plugin SPIPDF.
Pour les personnes ne pouvant pas mettre à jour rapidement, il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité qui corrige cette faille.
http://www.spip.net/fr_article4200.html
Merci à RealET et Yannick Siegler pour ce signalement.
Ces nouvelles versions comprennent aussi des correctifs de bugs identifiés ces derniers mois :
- Correction de compatibilités avec PHP 7.1
- Permettre les recherches contenant le caractère « / »
- Meilleure détection des fichiers de langues
- Meilleure gestion de https:// avec des reverse proxies
Consulter l’ensemble des corrections apportées
Les mises à jour suivantes sont disponibles :
Version 3.1.4
http://files.spip.net/spip/archives/SPIP-v3.1.4.zip
Version 3.0.25
http://files.spip.net/spip/archives/SPIP-v3.0.25.zip
Version 2.1.30
http://files.spip.net/spip/archives/SPIP-v2-1.30.zip
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.9) qui installe SPIP 3.1 par défaut.
http://www.spip.net/spip-dev/INSTAL...
Résumé des versions de SPIP
Branche | Version | Suivi |
---|---|---|
SPIP 3.1 | SPIP 3.1.4 | Branche stable |
SPIP 3.0 | SPIP 3.0.25 | Branche maintenue |
SPIP 2.1 | SPIP 2.1.30 | Branche maintenue (mise à jour de sécurité uniquement) |
Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter un piratage.
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
Une question, besoin d’aide ?
En cas de problème ou de difficultés, allez sur http://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net
Messages
6 mars 2017, 16:35, par l’imprimeur
Merci pour votre réactivité !
7 mars 2017, 10:15, par Nicolas
Bonjour,
J’ai rarement vu un cms aussi pourri que le votre. Vous feriez mieux de respecter les standards plutôt que de vouloir vous démarquer avec une solution complètement moisie, et un pseudo langage illisible et pathétique.
Bonne journée.
7 mars 2017, 10:21, par kent1
Il n’y a jamais de faille chez les autre Nicolas, c’est bien connu.
Bisous et bonne journée
7 mars 2017, 14:10, par Mist. GraphX
A peine lu le signalement pendant le WE, que le correctif était la le Lundi, autant de professionnalisme, de dévouement à la cause commune, je dis bravo et merci.
7 mars 2017, 18:45, par Julien
Pour le petit Nicolas : t’as pu mettre un commentaire, donc SPIP c’est pas si compliqué que ça visiblement ;-)
8 mars 2017, 10:18, par Maïeul
Merci Nicolas pour cette remarque claire, pertinente, fondée, sourcée et étayée.
9 mars 2017, 13:15, par UEBU
Nicolas, tu as totalement raison allez soyons fou retournons tous sur wordpress galerer comme des chiens galeux avec des plugins à moitié finis et qui sont incompatible avec les nouvelles mises à jours.
Spip is the Best !
11 mars 2017, 23:06, par ???
« Bien sûr les réseaux sociaux sont de la partie »
On est plein de francophones à avoir quitté Facebook et Twitter et on serait enchanté de vous retrouver sur un des nombreux pods Diaspora* (sans forcément fermer vos comptes des réseaux moins respectueux) !
À bientôt, j’espère !
13 mars 2017, 16:31, par Eric
Y’a pas eu d’annonce sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann ?
13 mars 2017, 17:18, par Maïeul
@Eric : j’ai bien reçu un mail spip-ann. Il semble que ce soit l’archiviste qui ait un problème.
15 mars 2017, 19:30, par Marc-Antoine Rey
Bonjour.
Je ne reviens pas sur le commentaire indispensable de @Nicolas...
Ma question serait de savoir qu’elle est cette faille ?
Via les formulaires de contacts ?
J’ai dispatché l’écran de sécurité sur mes 20 sites dont j’ai la responsabilité.
Est-ce suffisant pour l’instant ?
Merci de m’éclairer.
15 mars 2017, 19:57, par b_b
Salut, à notre connaissance la faille en question exploitait un problème mis en évidence par le plugin SPIPDF. Elle n’est pas exposée dans les formulaires de contact du core, l’écran de sécurité et une mise à jour des plugins peut suffire, mais comme on le dit toujours, un SPIP à jour est la solution la plus sûre.
21 mars 2017, 10:14, par François Daniel Giezendanner
Bravo et Merci à l’équipe SPIP pour son professionnalisme et sa réactivité, nous pouvons ainsi continuer sereinement avec cet excellent CMS !