SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP  (...)

Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11

lundi 16 septembre 2019, par La team

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant à des personnes non identifiées de modifier et publier n’importe quel contenu, ou d’exécuter d’autres modifications en base de données.

Elle touche toutes les branches SPIP 3.X (3.2, 3.1 et 3.0) et l’ancienne version SPIP 2.1.

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Ces nouvelles versions corrigent également d’autres problèmes de sécurité, moins graves :

  • meilleure sanitization des redirections, signalé par Christophe Laffont,
  • non divulgation des inscrits au site lors du rappel du mot de passe, signalé par Gilles Vincent
  • meilleure sanitization du message d’erreur sur la page de login, signalé par Youssouf Boulouiz

L’équipe remercie ces personnes pour leurs signalements.

Les mises à jour suivantes sont disponibles :

Version 3.2.5
https://files.spip.net/spip/archive...

Version 3.1.11
https://files.spip.net/spip/archive...

L’écran de sécurité

Pour les personnes ne pouvant pas mettre à jour immédiatement, ou pour protéger les versions non maintenues, il est nécessaire d’installer la version 1.3.12 de l’écran de sécurité qui corrige cette faille critique.
https://www.spip.net/fr_article4200.html

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 3.0.5).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi
SPIP 3.2 SPIP 3.2.5 Branche stable
SPIP 3.1 SPIP 3.1.11 Branche maintenue

Les versions SPIP 3.0, SPIP 2.1 et antérieures ne sont plus maintenues.
Il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Messages

  • Bonjour, l’écran de sécurité tel qu’indiqué dans l’article est-il bien le « 3.1.11 » ? J’ai la version de spip 3.2.4 et l’écran de sécurité indiqué est le 1.3.11. J’en profite pour dire qu’aucune notification de mise à jour n’apparaît dans les pages privées de mon site, alors que visiblement à la lecture de votre article, il est obsolète avec sa version SPIP 3.2.4 [24285] . Les précédentes fois (je « développe » laborieusement depuis un an) il y avait une notification permettant de savoir qu’une MAJ était disponible, et qu’il fallait faire la mise à jour.

  • Erratum, j’ai lu trop vite. L’écran de sécurité indiqué dans votre article est donc bien le 1.3.12, que je vais mettre à jour. Le reste de mon message est d’actualité.

  • Salut, le message de mise à jour n’apparaît pas encore car les nouvelles versions viennent de sortir, il sera certainement affiché d’ici demain au plus tard.

  • Bonjour, La mise critique vient d’être faite sur l’hébergeur free SPIP 3.2.5 [24404]
    Les fichiers du dossier /squelettes-dist est il à mettre jours aussi ? Y a t il eu des modifications ?
    Merci
    cedricsolignac.free.fr

  • Hello Cédric,

    non pas de modification de dossier /squelettes-dist/ entre SPIP 3.2.4 et SPIP 3.2.5

  • Très bien merci pour cette réponse rapide :)

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.