SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.10 et SPIP  (...)

Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.10 et SPIP 3.2.4

lundi 8 avril 2019, par La team

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant l’exécution de code arbitraire par les visiteurs identifiés.

Elle touche les versions SPIP 3.1 ( inférieure à la 3.1.10) et les versions SPIP 3.2 ( inférieure à la 3.2.4) , et impacte tous les sites utilisant ces versions.

Les versions SPIP 3.0 et antérieures ne sont pas concernées par ce problème.

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Guillaume Fahrner pour l’identification et le signalement de la faille.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.11 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

— L’équipe

Les mises à jour suivantes sont disponibles :

Version 3.2.4
https://files.spip.net/spip/archives/SPIP-v3.2.4.zip

Version 3.1.10
https://files.spip.net/spip/archives/SPIP-v3.1.10.zip

L’écran de sécurité

Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d’installer la version 1.3.11 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 3.0.5).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi
SPIP 3.2 SPIP 3.2.4 Branche stable
SPIP 3.1 SPIP 3.1.10 Branche maintenue
SPIP 3.0 SPIP 3.0.28 Branche maintenue (jusqu’au 30 juin 2019)

Les versions SPIP 2.1 et antérieures ne sont plus maintenues.
Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Messages

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.