Une faille CRITIQUE a été découverte récemment sous SPIP, permettant l’exécution de code arbitraire par les visiteurs identifiés.
Elle touche les versions SPIP 3.1 ( inférieure à la 3.1.10) et les versions SPIP 3.2 ( inférieure à la 3.2.4) , et impacte tous les sites utilisant ces versions.
Les versions SPIP 3.0 et antérieures ne sont pas concernées par ce problème.
Il est impératif de mettre à jour votre site SPIP dès que possible.
L’équipe remercie Guillaume Fahrner pour l’identification et le signalement de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.11 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
— L’équipe
Les mises à jour suivantes sont disponibles :
Version 3.2.4
https://files.spip.net/spip/archives/SPIP-v3.2.4.zip
Version 3.1.10
https://files.spip.net/spip/archives/SPIP-v3.1.10.zip
L’écran de sécurité
Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d’installer la version 1.3.11 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 3.0.5).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Résumé des versions de SPIP
Branche | Version | Suivi |
---|---|---|
SPIP 3.2 | SPIP 3.2.4 | Branche stable |
SPIP 3.1 | SPIP 3.1.10 | Branche maintenue |
SPIP 3.0 | SPIP 3.0.28 | Branche maintenue (jusqu’au 30 juin 2019) |
Les versions SPIP 2.1 et antérieures ne sont plus maintenues.
Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net
Messages
9 avril 2019, 19:45, par 👻
Merci.... Aucun problème pour mettre à jour !