Accueil > Release > Mise à jour CRITIQUE de sécurité : sortie de SPIP 3.2.7 & SPIP 3.1.12

Mise à jour CRITIQUE de sécurité : sortie de SPIP 3.2.7 & SPIP 3.1.12

jeudi 12 décembre 2019, par La team

Une faille CRITIQUE a été découverte récemment sous SPIP, elle permet à des auteurs identifiés d’injecter du contenu dans la base de données. Cette faille concerne les branches SPIP 3.1 et 3.2 [1].

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Alexis Zucca pour l’identification et le signalement de la faille.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.13 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Comme annoncé précédemment, la version beta de SPIP 3.3 sera bientôt disponible, à suivre...

Les mises à jour suivantes sont disponibles :

Version 3.2.7
https://files.spip.net/spip/archive...

Version 3.1.12
https://files.spip.net/spip/archive...

Et la version SPIP 3.2.6 ? Elle n’a vécu que le temps d’un café ...

L’écran de sécurité

Pour les personnes ne pouvant pas mettre à jour immédiatement, ou pour protéger les versions non maintenues, il est nécessaire d’installer la version 1.3.13 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 3.0.9).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi
SPIP 3.2 SPIP 3.2.7 Branche stable
SPIP 3.1 SPIP 3.1.12 Branche maintenue

Les versions SPIP 3.0, 2.1 et antérieures ne sont plus maintenues.
Même si elles ne sont pas impactées par cette faille, il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net


[1Erratum, seule la branche 3.2 était touchée

Messages

  • Merci,
    Mais je souhaite préciser que tous le crédit reviens à mes collègues de l’équipe sécurité qui ont identifié la faille, je ne suis que l’humble développeur qui à fait le liens avec votre équipe.
    Cordialement

  • La dernière faille de sécurité, indiquée avec le même motif succinct (injection de code) date de septembre dernier seulement...

    Cela montre que l’équipe de SPIP est réactive, il vaut mieux cela que de taire les failles et les laisser dans la nature...

  • Bien dit b_b :)
    Bravo à tout(e)s pour cette release !

  • « Souhaitons que cette correction dure plus longtemps qu’un trimestre. Merci. »

    Quelle morgue, on dirait un gros client mécontent d’avoir payé plein de fric pour un truc plein de bug...
    J’espère sincèrement que cette formulation blessante était maladroite et non volontaire.

    Faites comme les collègues d’Alexiz, n’hésitez pas a participer au debuggage de ce CMS que vous utilisez gratuitement, afin de le rendre plus sûr....
    ...ou faites comme moi, contentez vous, avec satisfaction et en silence, de voir que d’autres bossent pour vous (même si on en aimerait toujours plus)

  • Merci. Ça fait plaisir de voir le web indépendant bien vivant et réactif !

  • Cher anonyme ou naema ?,
    lorsque je travaillais, je n’ai jamais pris comme un remerciement chaleureux, le sec « merci » mis derrière une phrase avec l’impératif « souhaitons » :
    Cela sous entendait dans mon monde professionnel, qu’on avait intérêt à ce qu’il n’y ait plus de problème similaire... et qu’on était plus proche de la sortie que de l’augmentation.
    J’ai néanmoins émis l’hypothèse qu’il s’agissait d’une formulation maladroite.

    Je suppose qu’il en est de même de votre : « je me permet de mettre un terme aux échanges », typiquement une parole de supérieur hiérarchique bloquant de manière arbitraire la poursuite d’une discussion.
    La forme ne change rien au fond :
    Vous décidez unilatéralement qu’après votre discours, plus personne n’a à dire quoi que ce soit sur le sujet...
    Du coup, je vous laisse et redeviens silencieux :-)

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.