Une faille CRITIQUE a été découverte récemment sous SPIP, elle permet à des auteurs identifiés d’injecter du contenu dans la base de données. Cette faille concerne les branches SPIP 3.1 et 3.2 [1].
Il est impératif de mettre à jour votre site SPIP dès que possible.
L’équipe remercie Alexis Zucca pour l’identification et le signalement de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.13 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
Comme annoncé précédemment, la version beta de SPIP 3.3 sera bientôt disponible, à suivre...
Les mises à jour suivantes sont disponibles :
Version 3.2.7
https://files.spip.net/spip/archive...
Version 3.1.12
https://files.spip.net/spip/archive...
Et la version SPIP 3.2.6 ? Elle n’a vécu que le temps d’un café ...
L’écran de sécurité
Pour les personnes ne pouvant pas mettre à jour immédiatement, ou pour protéger les versions non maintenues, il est nécessaire d’installer la version 1.3.13 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 3.0.9).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Résumé des versions de SPIP
Branche | Version | Suivi |
---|---|---|
SPIP 3.2 | SPIP 3.2.7 | Branche stable |
SPIP 3.1 | SPIP 3.1.12 | Branche maintenue |
Les versions SPIP 3.0, 2.1 et antérieures ne sont plus maintenues.
Même si elles ne sont pas impactées par cette faille, il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net
Messages
12 décembre 2019, 13:45, par alexisz
Merci,
Mais je souhaite préciser que tous le crédit reviens à mes collègues de l’équipe sécurité qui ont identifié la faille, je ne suis que l’humble développeur qui à fait le liens avec votre équipe.
Cordialement
12 décembre 2019, 17:52, par b_b
Cela montre que l’équipe de SPIP est réactive, il vaut mieux cela que de taire les failles et les laisser dans la nature...
12 décembre 2019, 18:45, par erational
Bien dit b_b :)
Bravo à tout(e)s pour cette release !
13 décembre 2019, 10:25, par jfd
« Souhaitons que cette correction dure plus longtemps qu’un trimestre. Merci. »
Quelle morgue, on dirait un gros client mécontent d’avoir payé plein de fric pour un truc plein de bug...
J’espère sincèrement que cette formulation blessante était maladroite et non volontaire.
Faites comme les collègues d’Alexiz, n’hésitez pas a participer au debuggage de ce CMS que vous utilisez gratuitement, afin de le rendre plus sûr....
...ou faites comme moi, contentez vous, avec satisfaction et en silence, de voir que d’autres bossent pour vous (même si on en aimerait toujours plus)
13 décembre 2019, 15:58, par Ornichon
Merci. Ça fait plaisir de voir le web indépendant bien vivant et réactif !
17 décembre 2019, 15:15, par jfd
Cher anonyme ou naema ?,
lorsque je travaillais, je n’ai jamais pris comme un remerciement chaleureux, le sec « merci » mis derrière une phrase avec l’impératif « souhaitons » :
Cela sous entendait dans mon monde professionnel, qu’on avait intérêt à ce qu’il n’y ait plus de problème similaire... et qu’on était plus proche de la sortie que de l’augmentation.
J’ai néanmoins émis l’hypothèse qu’il s’agissait d’une formulation maladroite.
Je suppose qu’il en est de même de votre : « je me permet de mettre un terme aux échanges », typiquement une parole de supérieur hiérarchique bloquant de manière arbitraire la poursuite d’une discussion.
La forme ne change rien au fond :
Vous décidez unilatéralement qu’après votre discours, plus personne n’a à dire quoi que ce soit sur le sujet...
Du coup, je vous laisse et redeviens silencieux :-)