Bonjour,
nos services (merci encore une fois Arnault) viennent de découvrir un
trou de sécurité dans SPIP, permettant une injection de type
cross-site-scripting (XSS).
L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005),
il est clair que TOUTES les versions de SPIP sont touchées.
Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html,
qui se trouve dans le répertoire :
- dist/ en version SPIP 1.9
- squelettes-dist/ en version SPIP 2.0 ou 2.1
- extensions/dist_2007/ en version de dev
Si vous avez personnalisé ce squelette, le correctif consiste
simplement à supprimer étoile et filtre pour transformer l’expression
#ENV*{erreur}|propre en #ENV{erreur}
.
Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un email
à spip-team@rezo.net.
N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir
de l’aide sur cette migration :
- liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- forum : http://forum.spip.org/
- irc : http://spip.net/irc
Comment mettre à jour ?
Comme d’habitude, plusieurs possibilités pour la mise à jour :
1. l’écran de sécurité ; si vous n’avez pas le temps de faire tout
de suite une mise à jour complète, vous pouvez sécuriser en deux
minutes votre site en téléchargeant la version 1.0.1 de l’écran
de sécurité, et en la déposant dans votre répertoire config/
cf. http://www.spip.net/fr_article4200.html
2. par spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php
pour installer SPIP 2.1.9
3. par FTP : SPIP 2.1.9 est disponible à l’adresse
http://files.spip.org/spip/stable/
4. et bien sûr par SVN ;
faites simplement svn up
- dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
- dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
- sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/
Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14
que vous trouverez sur http://files.spip.org/archives
Messages
25 mars 2011, 17:36, par Nicolas Hoizey
Est-ce que quelque chose peut être fait au niveau de l’écran de sécurité, plutôt ?
25 mars 2011, 17:38, par Ben.
il est écrit dans le message : « si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 »
25 mars 2011, 17:42, par Nicolas Hoizey
Oups, désolé !!! :-/
25 mars 2011, 17:46, par Ben.
Ce qui nous fait un -500 pour nh ! tu vas avoir du mal à remonter la pente à coup de +1 :)
25 mars 2011, 20:22, par Soon
Bonjour,
est ce que avec « l’écran de sécurité » permet de couvrir cette faille ? ou il faut absolument mettre à jour.
25 mars 2011, 20:24, par Ben.
Soon : OUI ... la phrase n’est pas explicite ? : Comme d’habitude, plusieurs possibilités pour la mise à jour : 1. l’écran de sécurité ; si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html
29 mars 2011, 10:24, par tetue
Est-ce qu’il suffit de « transformer l’expression
#ENV*{erreur}|propre
en #ENVerreur » pour se prémunir de cette faille ou faut-il en plus faire la mise à jour selon l’une des 4 méthodes indiquées ?29 mars 2011, 10:25, par tetue
Suffit-il de « transformer l’expression
#ENV*{erreur}|propre
en#ENV{erreur}
» du fichier 404 pour se prémunir de cette faille ou faut-il aussi faire la mise à jour selon l’une des 4 méthodes indiquées ?29 mars 2011, 14:52, par denisb
cela suffit (de « transformer l’expression
#ENV*{erreur}|propre
en#ENV{erreur}
»)