Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

Correctifs

Nous publions donc aujourd’hui deux versions de maintenance de SPIP,
qui corrigent ce bug :
– SPIP 2.0.9, dernière version stable et officielle, qui contient,
outre la correction de ce problème de sécurité, quelques
améliorations, listées ci-dessous.
– SPIP 1.9.2i, version de maintenance de la branche 1.9.2

à télécharger sur
=> http://files.spip.org/spip/stable/

ou, si vous utilisez spip_loader, en vous rendant à l’adresse
=> http://xxx.example.tld/spip_loader.php

Pour les spécialistes, le patch de sécurité stricto sensu pour la
branche 2.0.x, qui ne corrige aucun autre bug et n’apporte aucune
autre fonctionnalité, peut se trouver ici :
http://fil.rezo.net/secu-14346-14350+14354.patch
Il s’agit des révisions [14347] [14348] [14349] [14350] et [14354].

Pour la branche 1.9.2x le patch est ici :
http://trac.rezo.net/trac/spip/changeset/14354/branches/spip-1.9.2

Ecran de sécurité

Si vous n’avez pas la possibilité de procéder à la mise à jour
complète tout de suite, nous vous invitons à colmater sans attendre le
problème en installant sur votre site l’« écran de sécurité », que
vous pouvez découvrir à l’adresse :
http://www.spip.net/fr_article4200.html
Cet écran permet de bloquer une éventuelle attaque sans pour autant
devoir mettre à jour les fichiers de SPIP.

Crédits

L’attaque a été détectée et analysée par Thomas Sutton et Pierre Rousset.

Nous vous rappelons que le meilleur moyen pour nous signaler un problème
de sécurité est d’envoyer un mail à la liste spip-team arobize rezo.net

Quelques modifications notables entre 2.0.8 et 2.0.9

– integration de l’ecran de securite si présent dans config/
– regexp plus strictes dans inc/syndic.php (évite un warning)
– le formulaire de login peut rediriger vers la page de l’auteur connecte
– affichage des revisions des champs extras2 et des mots-cles : …
– #FORMULAIRE_ECRIRE_AUTEUR : quand le mail ne part pas, le signaler
– filtres explode et implode
– ne plus changer l’id_auteur des forums quand on les edite
– bug #1757 : quand on - renseigne automatiquement un site - puis coche la …
– amélioration #1770 : ne pas vider les stats quand on importe un dump
– bug #1777 : ne pas publier une rubrique dont l’article est postdate…
– corriger l’ordre des éléments dans les flux RSS des forums
– afficher en clair les liens dans les forums a moderer
– caracteres supplementaires en arabe
– certains plugins refusaient de s’activer sur certains site

Log de la version 2.0.9

cf. http://trac.rezo.net/trac/spip/log/branches/spip-2.0 depuis 2.0.8

[14354] correction du nom de fichier de sauvegarde
– [14352] correction des autorisations sur les sauvegardes
– [14351] correction de l’icone ’tous vos articles" pour les rédacteurs qui avait disparu
– [14349]-[14350] correction de l’utilisation du validateur XML
– [14347]-[14348] correction des autorisations sur le chmod et les bases externes
– [14345] correction de la gestion du Content-Lenght sur requête Head+gz
– [14024]-[14326] correction de #INCLURE qui ne propage plus connect, comme <INCLURE
– [14295]-[14296] correction d’un appel par référence obsolète
– [14285] correction de la requête SQL avec Multi
– [14283] correction d’un warning sur fichier inexistant
– [14274]-[14276] correction de Regexp obsolètes dans la syndication
– [14273] correction de public_phraser_html, qui n’était pas surchargeable
– [14272] introduction de types de document : dv m4a m4b m4p m4u et m4v
– [14270] amélioration de la lutte contre les robots : ajout d’un rel=’nofollow’ sur le calendrier
– [14265] correction de l’autorisation de bases externes dans les cas de mutualisation (ok en multi-bases, toujours pas en base unique)
– [14259] introduction de l’argument « @page_auteur » dans le formulaire de login pour rediriger vers la page de l’auteur
– [14255] introduction de la classe « puce »
– [14253]-[14279] introduction des révisions des mots-clés et du champ extra2
– [14252] amélioration du #FORMULAIRE_ECRIRE_AUTEUR : quand le mail ne part pas, le dire
– [14226] introduction des squelettes en sous-répertoire pour les webmestres (spip.php ?page=chemin/vers/monsquelette acceptés)
– [14211] correction des dates nulles dans la version PostGres
– [14174]-[14203]-[14206] amélioration de la gestion de l’id_auteur dans les forums
– [14193] amélioration des forums : utilisation du tableau des traitements pour leur texte
– [14191] correction des sauts de ligne dans les forums
– [14190] correction de post_autobr
– [14187] introduction des filtres implode et explode
– [14181] correction du pré-remplissage dans la déclaration des bases externes
– [14176] correction du portage PostGres pour la fonction listdbs
– [14169] amélioration de la présentation de auteur_infos
– [14158] amélioration du code produit par le compilateur
– [14156]-[14157] correction du squelette de CSS en cas d’arguments fautifs
– [14155] correction d’un appel parfois manquant au pipeline « styliser »
– [14154] introduction de la constante _DEBUG_ANONYME
– [14150]-[14151] correction du / final dans les URL arborescentes
– [14149] correction du préfixe de table dans les requêtes SQL imbriquées
– [14147] correction d’erreur de type SQL par révision des spécifications de sql_quote
– [14146] correction de la gestion des ancres dans les URL absolues
– [14145] amélioration du cache des meta
– [14139]-[14141] correction de la propagation des ancres en Ajax/CVT par changement de spécification de redirige_formulaire
– [14137] amélioration des spécifications des fonctions d’installation de plugins
– [14133] correction de la fonction suivre_liens
– [14132] correction de la déclaration d’une syndication : le descriptif n’était pas toujours enregistré
– [14131] correction de la gestion des majuscules dans les extensions de fichier (#1762)
– [14130] correction des caches avec session
– [14129] amélioration de la reprise d’une restauration : sans cookie peut être ok
– [14128] amélioration des restaurations : conserver les statistiques présentes
– [14127] amélioration de la fonction retire_cache
– [14125] correction de la largeur dans le style des listes
– [14124] correction du statut de la traduction d’un article : pas d’héritage
– [14123] correction du cache de trouver_table
– [14119] correction des valeurs par défaut dans le phraseur
– [14118] correction des statuts et dates des articles post-datés et leur rubrique
– [14117] correction de la version PostGres : des apostrophes, pas des guillemets
– [14116] correction du script de rotation d’image
– [14166]-[14114] correction des appels de notes
– [13987]-[13993]-[13998]-[14000]-[14010]-[14029]-[14105] correction de #INCLURE et #MODELE qui n’acceptaient pas certains arguments
– [14102] correction de l’ordre des éléments dans les flux RSS de forums
– [14101] correction du critère par qui refusait certains arguments
– [14100] amélioration de la recherche des types d’URL disponibles
– [14093] correction des auto-liens (confusion avec le « < » d’un raccourci de tableau)
– [14089] introduction de la prise en compte du moteur Bing
– [14077]-[14079] correction de la recherche SQL, qui ne se faisait pas dans tous les forums
– [14078] correction du pluriel des tables SQL, pas toujours bien géré
– [14076] correction de l’attente Ajax, qui avait trop d’images
– [14075] introduction de nouveaux arguments dans la balise #LOGO_DOCUMENT
– [14069] introduction de la fonction surchargeable documenter_objet
– [14068] correction de la gestion des ancres en Ajax
– [14062] correction de l’appel ctype_xdigit, pas toujours disponible ; le simuler.
– [14060]-[14061]-[14064] correction du filtre « form_hidden », pas toujours compatible avec certains type d’URL
– [14057] correction du filtre « couper ».
– [14055] correction du surlignement
– [14050] amélioration de présentation des forums à modérer
– [14047] correction de la création de vignettes automatiques dans l’espace privé
– [14046] correction du critère « par » inclus identique à un autre dans l’incluant
– [14043] correction des squelettes ICS qui ne spécifiaient pas le Charset
– [14042] correction du #LOGIN_PUBLIC n’acceptait pas une URL avec « & »
– [14040] amélioration de contenu_document, qui devine le Charset d’un document joint (.csv ou .html en particulier)
– [14039] correction du Title de l’agenda qui indiquait toujours la date courante.
– [14036]-[14038] amélioration de recuperer_page : gestion de user:pass dans l’URL, et réduction de la consommation de mémoire
– [14028] correction de la traduction iso-8859-1 en utf8
– [14025] amélioration des statistiques : ne pas compter les spams
– [14021] amélioration du pipe-line des articles : communiquer id_secteur
– [14020] correction des dates et des séparateurs dans le CSV des statistiques
– [13999]-[14018] introduction d’un pipeline afficher_hierarchie
– [14017] correction du formulaire d’édiion des rubriques
– [14013] correction de l’affichage normalisé de .csv joints qui ne le sont pas toujours
– [14008] amélioration de la recherche des fichiers de balises dynamiques par restriction
– [14004] correction de cas de bouclage dans une erreur en AJAX
– [14001]-[14003] correction de ligatures arabes
– [14002] introduction du pipeline « affiche_enfants »
– [13997] correction d’une erreur dans un message d’erreur
– [13984]-[13989]-[13994] correction du flux RSS de suivi du forum d’un article qui était lacunaire
– [13983] correction de la gestion de caractères non encodés dans la table des metas, qui tronquaient celle-ci d’où des incohérences notamment pour l’activation des plugins.

— l’équipe de SPIP