Une faille CRITIQUE a été découverte récemment sous SPIP, permettant à des personnes non identifiées de modifier et publier n’importe quel contenu, ou d’exécuter d’autres modifications en base de données.
Elle touche toutes les branches SPIP 3.X (3.2, 3.1 et 3.0) et l’ancienne version SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible.
L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
Ces nouvelles versions corrigent également d’autres problèmes de sécurité, moins graves :
- meilleure sanitization des redirections, signalé par Christophe Laffont,
- non divulgation des inscrits au site lors du rappel du mot de passe, signalé par Gilles Vincent
- meilleure sanitization du message d’erreur sur la page de login, signalé par Youssouf Boulouiz
L’équipe remercie ces personnes pour leurs signalements.
Les mises à jour suivantes sont disponibles :
Version 3.2.5
https://files.spip.net/spip/archive...
Version 3.1.11
https://files.spip.net/spip/archive...
L’écran de sécurité
Pour les personnes ne pouvant pas mettre à jour immédiatement, ou pour protéger les versions non maintenues, il est nécessaire d’installer la version 1.3.12 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 3.0.5).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php
Résumé des versions de SPIP
Branche | Version | Suivi |
---|---|---|
SPIP 3.2 | SPIP 3.2.5 | Branche stable |
SPIP 3.1 | SPIP 3.1.11 | Branche maintenue |
Les versions SPIP 3.0, SPIP 2.1 et antérieures ne sont plus maintenues.
Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann
Bien sûr les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net
Messages
16 septembre 2019, 16:38, par Naema
Bonjour, l’écran de sécurité tel qu’indiqué dans l’article est-il bien le « 3.1.11 » ? J’ai la version de spip 3.2.4 et l’écran de sécurité indiqué est le 1.3.11. J’en profite pour dire qu’aucune notification de mise à jour n’apparaît dans les pages privées de mon site, alors que visiblement à la lecture de votre article, il est obsolète avec sa version SPIP 3.2.4 [24285] . Les précédentes fois (je « développe » laborieusement depuis un an) il y avait une notification permettant de savoir qu’une MAJ était disponible, et qu’il fallait faire la mise à jour.
16 septembre 2019, 16:40, par Naema
Erratum, j’ai lu trop vite. L’écran de sécurité indiqué dans votre article est donc bien le 1.3.12, que je vais mettre à jour. Le reste de mon message est d’actualité.
16 septembre 2019, 16:41, par b_b
Salut, le message de mise à jour n’apparaît pas encore car les nouvelles versions viennent de sortir, il sera certainement affiché d’ici demain au plus tard.
21 septembre 2019, 14:22, par Cédric
Bonjour, La mise critique vient d’être faite sur l’hébergeur free SPIP 3.2.5 [24404]
Les fichiers du dossier /squelettes-dist est il à mettre jours aussi ? Y a t il eu des modifications ?
Merci
cedricsolignac.free.fr
21 septembre 2019, 18:54, par erational
Hello Cédric,
non pas de modification de dossier /squelettes-dist/ entre SPIP 3.2.4 et SPIP 3.2.5
21 septembre 2019, 21:16, par Cédric
Très bien merci pour cette réponse rapide :)