SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.6 et SPIP 3.2 Beta (...)

Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.6 et SPIP 3.2 Beta 3

lundi 12 juin 2017, par La team

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant l’exécution de code arbitraire.

Elle touche les versions SPIP 3.1.x et les versions SPIP 3.2 (alpha & beta), et impacte tous les sites utilisant ces versions.
Les versions SPIP 3.0.x et antérieures ne sont pas concernées par ce problème.

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Emeric Boit et l’ANSSI pour l’identification et le signalement de la faille.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.2 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

— L’équipe

Les mises à jour suivantes sont disponibles :

Version 3.1.6
https://files.spip.net/spip/archives/SPIP-v3.1.6.zip

Version 3.2 Beta 3
Pour les personnes qui souhaitent tester la future version de SPIP, nous en profitons pour sortir SPIP 3.2 Beta 3
https://files.spip.net/spip/archives/SPIP-vtrois.2.0-beta-3.zip

Attention : c’est une version beta, elle peut encore contenir des bugs.
Ne faites pas de mise à jour vers cette version depuis un site en production sans savoir ce que vous faites.

L’écran de sécurité

Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d’installer la version 1.3.2 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.9) qui installe SPIP 3.1 par défaut.
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi
SPIP 3.1 SPIP 3.1.6 Branche stable
SPIP 3.0 SPIP 3.0.26 Branche maintenue
SPIP 2.1 SPIP 2.1.30 Branche maintenue (mises à jour de sécurité uniquement)

Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Messages

  • Bonjour
    Je cherche la dernière version stable qui tourne sur free ?
    Merci de bien vouloir m’indiquer le lien si vous en avez le temps ?*Merci
    Jean

  • Pour FREE, Je te conseille de lire cet article https://contrib.spip.net/SPIP-chez-Free-fr

  • Pour moi, la MAJ vers la version 3.1.6 (chez Free en plus) fonctionne sans souci. Site assez simple type blog ceci dit avec thème responsive perso ( http://ape.chaban.free.fr).

    Je suis tenté d’essayer la béta (sur serveur de production), mais un rollback vers la 3.1.6 est-il possible ? (MAJ de la structure de la Base de données conséquentes quoi ?).

    Merci :)
    Thomas

  • Hop,

    SPIP à jour. Merci la Team, et merci à Emeric Boit et l’ANSSI of course :-)

  • It would be nice if you have the release/update notes in English too.
    Thank you

  • la connexion reste active bien qu’on quitte le navigateur (et extinction du PC)
    après test la déconnexion s’effectue au bout de 48h seulement !
    conditions de test
    - connexion en administrateur puis extinction sans passer par le bouton de déconnexion. Bien entendu, la case « rester connecté » n’est pas cochée et il est vérifié qu’elle ne se coche pas automatiquement comme dans une des précédentes versions
    - allumage du pc toute les 24 heures environ, lancement du navigateur appel du site et constatation des accès administrateurs toujours actifs en navigant.

    ce problème est apparu avec la 3.1.5
    clt

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.