Bonjour,
plusieurs failles de sécurité ont été repérées dans les versions 1.9.2,
2.0 et 2.1 de SPIP.
Nous rappelons à toutes et tous que le meilleur moyen pour signaler des
failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.
C’est ce qu’a fait Laurent Estieux et nous l’en remercions.
La faille concernant la version 1.9.2 est majeure (injection sql) et si vous
avez une version 1.9.2 de SPIP, nous conseillons vivement de faire la mise à
jour en 1.9.2.k.
Concernant les versions 2.0 et 2.1, si l’impact sur un site est moins
important (full path disclosure), nous conseillons toutefois de mettre à jour
en 2.0.16 et 2.1.11.
Dans tous les cas vous avez toujours la possibilité de protéger rapidement
votre site (en attendant sa mise à jour complète) en téléchargeant la
version 1.0.5 (26 juillet 2011) de l’écran de sécurité, et en la déposant
dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).
N’hésitez pas à utiliser les différents moyens mis à disposition de la
communauté (http://boussole.spip.org) pour obtenir de l’aide lors de cette
mise à jour ; en particulier :
- liste spip-user http://listes.rezo.net/mailman/listinfo/spip
- forum http://forum.spip.org/
- IRC http://spip.net/irc
Avertissement :
Noter qu’à la sortie de la version 3.0, le support de la branche 1.9.2
sera définitivement abandonné.
Comment mettre à jour ?
- par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l’adresse
http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.11 - par copie des fichiers :
SPIP 2.1.11 disponible à l’adresse http://files.spip.org/spip/stable/spip.zip
SPIP 2.0.16 disponible à l’adresse http://files.spip.org/spip/archives/SPIP-v2-0-16.zip
SPIP 1.9.2k disponible à l’adresse http://files.spip.org/spip/archives/SPIP-v1-9-2k.zip - par SVN :
si vous êtes dans la branche 2.1 faites simplement un svn up svn ://trac.rezo.net/spip/branches/spip-2.1
la version 2.1.11 est aussi disponible sous la branche : svn ://trac.rezo.net/spip/branches/spip-2-stable/
et sous le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.11/
Post Scriptum :
Suite à un mouvement de foule concernant de multiples ’on-dit’ sur
la date de sortie de la version 3.0, l’équipe SPIP-team se doit de
réagir et faire taire toute rumeur : "La version SPIP 3.0.0 sortira
quand elle sera prête !"
D’ici là vous pouvez tester ’in situ’ ce qu’elle propose
sur http://grml.eu/spip.php?article1 . Ou encore la télécharger
sur http://files.spip.org/spip/dev/SPIP-3-beta.zip (elle est
disponible en version beta ce qui veut dire que l’on se rapproche de
la date de sortie).
Post Scriptum 2 :
Avez-vous vu le tout nouveau, tout beau http://plugins.spip.net ? En fait
il n’est pas vraiment nouveau et il a toujours été beau. Mais il
est maintenant complètement automatique et basé sur de « puissants
algorithmes » :-)
Pour en savoir plus : http://plugins.spip.net/spip.php?article1
La peinture est encore toute fraîche donc il se peut qu’il y ait
quelques coulures encore, mais allez-y.
Messages
23 septembre 2011, 13:20
Et l’écran de sécurité ne corrige pas les failles ?
23 septembre 2011, 13:26, par Ben.
Il faut bien lire le message :
23 septembre 2011, 13:33
Ah oui, j’ai été trop vite, merci