Bonjour,
Plusieurs failles de sécurité ont été repérées (Merci à High-Tech
Bridge SA Security Research Lab, Davy et Arnault) dans les
versions 1.9, 2.0 et 2.1 de SPIP.
Nous rappelons à toutes et tous que le meilleur moyen pour signaler
des failles, ou des suspicions de failles, est d’envoyer un email
à spip-team@rezo.net.
Deux des failles concernent les versions 2.0 et 2.1.
La plus sévère ouvre la possibilité pour un membre non autorisé
de se déclarer administrateur.
Les deux autres concernent l’affichage de « full path disclosure » et une
possibilité d’injection XSS.
La mise à jour du célèbre écran de sécurité ne protège pas des trois
failles précitées : il n’a pas été possible de faire un code léger qui
comblerait ces trois problèmes. Néanmoins, vous êtes encouragé à
télécharger sa version la plus récente (1.0.6 du 05 novembre 2011)
et la déposer dans votre répertoire config/
(cf. http://www.spip.net/fr_article4200.html).
Pour la version 1.9 la mise à jour de l’écran est suffisante si vous
ne souhaitez pas passer en version 1.9.2n.
Pour les versions 2.0 et 2.1, nous vous recommandons de mettre à
jour SPIP, car l’écran ne corrige pas les failles qui concernent
spécifiquement ces versions.
En clair, nous vous recommandons fortement de mettre à jour.
N’hésitez pas à utiliser les différents moyens mis à disposition par la
communauté pour obtenir de l’aide lors de cette mise à jour :
– Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
– Forum : http://forum.spip.org/
– IRC : http://spip.net/irc
Comment mettre à jour ?
1. par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l’adresse
http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.12
2. par copie des fichiers :
SPIP 2.1.12 est disponible à l’adresse
http://files.spip.org/spip/stable/spip.zip
3. par SVN ;
si vous êtes dans la branche 2.1 faites simplement un « svn up »
svn ://trac.rezo.net/spip/branches/spip-2.1
la version 2.1.12 est aussi disponible sous la branche :
svn ://trac.rezo.net/spip/branches/spip-2-stable/
et sous le tag
svn ://trac.rezo.net/spip/tags/spip-2.1.12/
Les versions 2.0.17 et 1.9.2.n sont téléchargeables ici :
http://files.spip.org/spip/archives/
Post Scriptum :
Comment être tenu au courant de ces annonces ? Le plus simplement du monde en
s’inscrivant sur la mailing liste
http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux ne sont pas en reste :
– @spipeau : http://twitter.com/spipeau
– Facebook : http://www.facebook.com/pages/SPIP/174695777822
– Seenthis : http://seenthis.net/people/spip
Messages
20 novembre 2011, 18:13, par regis92
Bonjour,
Que voulez-vous dire par « Pour la version 1.9 la mise à jour de l’écran est suffisante si vous ne souhaitez pas passer en version 1.9.2n. » ?
Y-a-t-il moyen de récupérer uniquement le(s) fichier(s) modifié(s) entre 1.9.2m et 1.9.2n ?
Merci beaucoup.
25 mars 2012, 10:01, par gs
Bonjour,
Je ne suis pas sûr d’être au bon endroit pour poser ma question mais je n’ai pas trouvé un lien forum pour les questions nouvelles.
Voilà :
Je suis hébergé chez Free mais Free semble se désintéresser des pages perso (par exemple on ne dispose plus des stats webalizer : supprimées sans prévenir avec réponse ’En maintenance’ et depuis plusieurs mois.
Je cherche un autre hébergeur et je voudrais savoir quel est l’hébergeur qui a la préférence de la communauté SPIP SARKA pour le choisir
D’avance merci et encore toutes mes excuses si je ne suis pas sur le bon forum.
Cordialement