SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.6 et SPIP 3.2 Beta (...)

Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.6 et SPIP 3.2 Beta 3

lundi 12 juin 2017, par La team

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant l’exécution de code arbitraire.

Elle touche les versions SPIP 3.1.x et les versions SPIP 3.2 (alpha & beta), et impacte tous les sites utilisant ces versions.
Les versions SPIP 3.0.x et antérieures ne sont pas concernées par ce problème.

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Emeric Boit et l’ANSSI pour l’identification et le signalement de la faille.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.2 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

— L’équipe

Les mises à jour suivantes sont disponibles :

Version 3.1.6
https://files.spip.net/spip/archives/SPIP-v3.1.6.zip

Version 3.2 Beta 3
Pour les personnes qui souhaitent tester la future version de SPIP, nous en profitons pour sortir SPIP 3.2 Beta 3
https://files.spip.net/spip/archives/SPIP-vtrois.2.0-beta-3.zip

Attention : c’est une version beta, elle peut encore contenir des bugs.
Ne faites pas de mise à jour vers cette version depuis un site en production sans savoir ce que vous faites.

L’écran de sécurité

Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d’installer la version 1.3.2 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.9) qui installe SPIP 3.1 par défaut.
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi
SPIP 3.1 SPIP 3.1.6 Branche stable
SPIP 3.0 SPIP 3.0.26 Branche maintenue
SPIP 2.1 SPIP 2.1.30 Branche maintenue (mises à jour de sécurité uniquement)

Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Messages

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.