Une faille CRITIQUE a été découverte récemment sous SPIP, permettant l’exécution de code arbitraire.
Elle touche les versions SPIP 3.1.x et les versions SPIP 3.2 (alpha & beta), et impacte tous les sites utilisant ces versions.
Les versions SPIP 3.0.x et antérieures ne sont pas concernées par ce problème.
Il est impératif de mettre à jour votre site SPIP dès que possible.
L’équipe remercie Emeric Boit et l’ANSSI pour l’identification et le signalement de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.2 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
— L’équipe
Les mises à jour suivantes sont disponibles :
Version 3.1.6
https://files.spip.net/spip/archives/SPIP-v3.1.6.zip
Version 3.2 Beta 3
Pour les personnes qui souhaitent tester la future version de SPIP, nous en profitons pour sortir SPIP 3.2 Beta 3
https://files.spip.net/spip/archives/SPIP-vtrois.2.0-beta-3.zip
Attention : c’est une version beta, elle peut encore contenir des bugs.
Ne faites pas de mise à jour vers cette version depuis un site en production sans savoir ce que vous faites.
L’écran de sécurité
Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d’installer la version 1.3.2 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.9) qui installe SPIP 3.1 par défaut.
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Résumé des versions de SPIP
Branche | Version | Suivi |
---|---|---|
SPIP 3.1 | SPIP 3.1.6 | Branche stable |
SPIP 3.0 | SPIP 3.0.26 | Branche maintenue |
SPIP 2.1 | SPIP 2.1.30 | Branche maintenue (mises à jour de sécurité uniquement) |
Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net
Messages
12 juin 2017, 14:13, par Jean Fortunet
Bonjour
Je cherche la dernière version stable qui tourne sur free ?
Merci de bien vouloir m’indiquer le lien si vous en avez le temps ?*Merci
Jean
12 juin 2017, 16:07, par erational
Pour FREE, Je te conseille de lire cet article https://contrib.spip.net/SPIP-chez-Free-fr
12 juin 2017, 21:05, par Thomas
Pour moi, la MAJ vers la version 3.1.6 (chez Free en plus) fonctionne sans souci. Site assez simple type blog ceci dit avec thème responsive perso ( http://ape.chaban.free.fr).
Je suis tenté d’essayer la béta (sur serveur de production), mais un rollback vers la 3.1.6 est-il possible ? (MAJ de la structure de la Base de données conséquentes quoi ?).
Merci :)
Thomas
12 juin 2017, 22:58, par peetdu
Hop,
SPIP à jour. Merci la Team, et merci à Emeric Boit et l’ANSSI of course :-)
14 juin 2017, 19:13, par Kamran
It would be nice if you have the release/update notes in English too.
Thank you
15 juin 2017, 07:44, par erational
Hello Kamaran,
The release in english is now available :
https://contrib.spip.net/CRITICAL-security-update-SPIP-3-1-6-and-SPIP-3-2-Beta
17 juin 2017, 21:25, par jfd
la connexion reste active bien qu’on quitte le navigateur (et extinction du PC)
après test la déconnexion s’effectue au bout de 48h seulement !
conditions de test
– connexion en administrateur puis extinction sans passer par le bouton de déconnexion. Bien entendu, la case « rester connecté » n’est pas cochée et il est vérifié qu’elle ne se coche pas automatiquement comme dans une des précédentes versions
– allumage du pc toute les 24 heures environ, lancement du navigateur appel du site et constatation des accès administrateurs toujours actifs en navigant.
ce problème est apparu avec la 3.1.5
clt
28 juin 2017, 09:48, par Eric
Bonjour,
Depuis au moins deux versions la page de téléchargement de SPIP est restée coincée sur l’année 2016.
https://www.spip.net/fr_download
Le jour et le mois changent avec les versions mais l’année est toujours sur 2016.
28 juin 2017, 09:52, par b_b
Ha oui bien vu, corrigé, merci :)
22 août 2017, 09:41, par Graphie
Bonjour,
Aurait-on « quelque part » des informations sur l’utilisation de la
Fonction avancées > Optimisations et compression > URL ressources
? SVP !Je n’avais pas noté son apparition au fil des évolutions ;-)
Merci,
françois