Accueil > Release > Mise à jour CRITIQUE de sécurité : sortie de SPIP 3.2.8 et SPIP 3.1.13 SPIP (…)

Mise à jour CRITIQUE de sécurité : sortie de SPIP 3.2.8 et SPIP 3.1.13 SPIP 3.1.14

mardi 29 septembre 2020, par La team

Des failles de sécurité nous ont été signalées sur la branche 3.2, elles permettent à des auteurs identifiés d’exécuter du code PHP arbitraire. La version SPIP 3.2.8 corrige ces failles.

Nous sortons aussi une version SPIP 3.1.13 SPIP 3.1.14 qui corrige des failles de sécurité pour la branche 3.1.

Il est impératif de mettre à jour votre site SPIP dès que possible.

Attention : si vous êtes est sous SVN : le dépot SVN n’est plus mis à jour. Il faut donc passer sous Git (voir plus bas).

L’équipe remercie Laluka (JACQUES-CHEVALLIER Louka) pour l’identification et le signalement des failles.

Il n’a pas été possible de corriger ces failles dans l’écran de sécurité, nous vous conseillons donc de mettre à jour vers SPIP 3.2.8.

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 4.2.0).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi
SPIP 3.2 SPIP 3.2.8 Branche stable
SPIP 3.1 SPIP 3.1.14 Branche maintenue

Les versions SPIP 3.0, 2.1 et antérieures ne sont plus maintenues.
Même si elles ne sont pas impactées par cette faille, il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Nouvelles de la communauté

Cette sortie de SPIP 3.2.8 est le fruit de notre nouvel espace de développement entièrement passé sous Git. Ce chantier a été mené pour toute la communauté (core + plugins) et a entrainé la création de nouveaux outils (checkout, débardeur, gitea_mirror, ...) qui se trouvent sur la nouvelle forge https://git.spip.net/

Concernant le passage sous Git plusieurs ressources sont disponibles :

Si vous êtes un peu perdu⋅e il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur la liste spip-dev https://listes.rezo.net/mailman/listinfo/spip-dev

De plus, afin de simplifier les échanges, nous avons fusionné les listes de discussion spip-zone et spip-dev au profit de cette dernière.

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Messages

  • Note : la structure des zips à changé :

    • avant le contenu des répertoires et fichiers SPIP (ecrire/, prive/, ...) étaient dans un répertoire « spip/ »
    • maintenant ils sont directement à la racine du zip.
  • ils sont directement à la racine du zip.

    Je n’avais pas lu, mais je n’ai rien vu de différent, la décompression se fait bien proprement dans un dossier au nom de l’archive. Peut-être parce que je suis sous un autre système que le votre ?
    Par ailleurs, le fichier svn.revision n’existe évidemment plus. C’était rapide et pratique pour tout savoir sur la build. Il n’y a pas la même chose sous git ?
    Bonne journée

  • Salut,

    > Par ailleurs, le fichier svn.revision n’existe évidemment plus. C’était rapide et pratique pour tout savoir sur la build. Il n’y a pas la même chose sous git ?

    Non, ça n’existe pas par défaut, et ça nous demanderait d’en générer un de notre côté, alors que le fichier CHANGELOG.TXT à la racine contient déjà tout ce qu’il faut :)

  • le fichier CHANGELOG.TXT à la racine contient déjà tout ce qu’il faut

    ... Tout sauf les infos de ce fichier :-))
    Après, c’est pas la peine de s’emmouscailler pour des infos que personne ne doit utiliser à part des mecs un peu bordéliques comme moi.
    Bonne soirée

  • bonjour je vous signale un petit bug relevé sur la branche SPIP 3.2.8 [24473]

    Après la mise à jour via le loader, dans l’espace privé , un array est affiché en haut à gauche.

    ce dernier est présent partout sauf sur la page d’admin des plugins.

  • @nicolas : je n’ai pas ce array. Tu aurais pas un plugin qui causera cela par inadevertance.

    Peux tu faire une capture d’écran ?

  • @Nicolas @Maieul : il suffit de faire un ?var_mode=recalcul dans l’espace privé pour résoudre ce Array

  • Merci pour cette release !

  • Mise à jour bien effectué sur le domaine free.fr.

    Merci à toute l’équipe de Spip

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.