Bonjour,
Plusieurs failles de sécurité ont été repérées récemment dans SPIP,
(merci à Guillaume Fahrner, Arnault Pachot, Silvère Cainaud,
Maxime Pelletier,Antoine Cervoise et Christophe Imberti) et ont
été corrigées dans les nouvelles versions 1.9.2.o, 2.0.18
et 2.1.13
La plupart des failles concernent des possibilités d’injection XSS.
L’utilisation de l’écran de sécurité mis à jour protège de la plupart
d’entre elles : vous êtes encouragés à télécharger sa version la plus
récente (1.0.10 du 17 avril 2012) et à la déposer dans votre répertoire
config/ (cf. http://www.spip.net/fr_article4200.html).
Toutefois, comme toutes les failles ne sont pas corrigées par l’écran
de sécurité, nous vous recommandons fortement de mettre à jour SPIP
avec les nouvelles versions.
Attention : Si votre site tourne sous PHP4 il est recommandé d’attendre la prochaine release avant de mettre à jour
N’hésitez pas à utiliser les différents moyens mis à disposition par la
communauté pour obtenir de l’aide lors de cette mise à jour :
– Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
– Forum : http://forum.spip.org/
– IRC : http://spip.net/irc
Nous rappelons à toutes et tous que le meilleur moyen pour signaler
des failles, ou des suspicions de failles, est d’envoyer un email
à spip-team@rezo.net.
Comment mettre à jour ?
1. par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l’adresse
http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.13
2. par copie des fichiers :
SPIP 2.1.13 est disponible à l’adresse
http://files.spip.org/spip/stable/spip.zip
3. par SVN :
si vous êtes dans la branche 2.1 faites simplement un « svn up »
svn ://trac.rezo.net/spip/branches/spip-2.1
la version 2.1.13 est aussi disponible sous la branche :
svn ://trac.rezo.net/spip/branches/spip-2-stable
et sous le tag
svn ://trac.rezo.net/spip/tags/spip-2.1.13
Les versions 2.0.18 et 1.9.2.o sont téléchargeables ici :
http://files.spip.org/spip/archives/
Post Scriptum :
Comment être tenu au courant de ces annonces ? Le plus simplement du monde en
s’inscrivant sur la mailing liste
http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux ne sont pas en reste :
– Twitter : http://twitter.com/spip
– Facebook : http://www.facebook.com/spip.net
– Seenthis : http://seenthis.net/people/spip