SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > Mise à jour CRITIQUE de sécurité - Sortie de SPIP 3.1.1, SPIP 3.0.22 et SPIP (...)

Mise à jour CRITIQUE de sécurité - Sortie de SPIP 3.1.1, SPIP 3.0.22 et SPIP 2.1.29

jeudi 10 mars 2016, par La team

Deux failles de sécurité ont été découvertes récemment dans SPIP :

  • une faille critique permettant l’injection de code PHP (merci à g0uZ et sambecks, team root-me)
  • une faille secondaire permettant l’injection d’objets par unserialize (merci à Gilles Vincent)

Ces failles sont sérieuses et affectent toutes les versions de SPIP. Il est impératif de mettre à jour votre site SPIP dès que possible.

Les mises à jour suivantes sont disponibles :

Version 3.1.1
http://files.spip.net/spip/archives/SPIP-v3.1.1.zip

Version 3.0.22
http://files.spip.net/spip/archives/SPIP-v3.0.22.zip

Version 2.1.29
http://files.spip.net/spip/archives/SPIP-v2-1.29.zip

Ces versions comprennent aussi la correction de bugs des derniers mois.
Dans le cas de la branche 2.1, la version embarque aussi des corrections liées a PHP7, il convient d’être prudent lors de la mise à jour (lire les détails plus bas)

Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d’installer la version 1.2.4 de l’écran de sécurité qui corrige la faille critique.
http://www.spip.net/fr_article4200.html

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Précisions sur la mise à jour de la branche 2.1

La version SPIP 2.1.29 corrige la faille et apporte en plus la compatibilité avec PHP7.
Par contre, cette version n’est plus compatible avec les versions de PHP n’ayant pas l’interface mysqli : soit parce qu’elles ne l’avaient pas encore (PHP <= 4) soit parce qu’elles n’ont pas été compilées avec (PHP 5).
Il convient donc de vérifier l’installation de PHP avant de faire la mise à jour, pour éviter de risquer de bloquer le site.

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.8) qui installe SPIP 3.1 par défaut
http://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé du suivi des versions de SPIP

  • La version SPIP 3.1.1 est la version stable.
  • La version SPIP 3.0 continue à être maintenue. Dernière version SPIP 3.0.22
  • La version SPIP 2.1 continue à être maintenue (mise à jour de sécurité uniquement) . Dernière version SPIP 2.1.29.
  • Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter un piratage.

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux ne sont pas en reste :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur http://forum.spip.net