SPIP Blog
Mise à jour critique de l’écran de sécurité Cette version bloque l’exploitation d’une faille critique permettant l’exécution de code (RCE) depuis l’espace public dans certains contextes de saisie utilisateur et aussi dans l’espace privé sur des sites de versions antérieures à 4.2.1, 4.1.8, 4.0.10 et 3.2.18.
Si vous n’avez pas encore mis à jour vos sites vers une de ces versions de SPIP ou ultérieures, il devient urgent de le faire.
Mais en attendant, cette nouvelle version 1.5.3 de l’écran de sécurité est à appliquer, le temps de faire le nécessaire.
Cette faille est prise en charge par l’écran de sécurité
Télécharger le dernier écran de sécurité :
https://www.spip.net/fr_article4200.html
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 6.1.1)
Le spip_loader est maintenant distribué à l’adresse suivante :
https://get.spip.net/
Le spip_loader.php est maintenant au format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).
Résumé des versions de SPIP
| Branche | Version | Suivi | Compatibilité PHP |
|---|---|---|---|
| SPIP 4.2 | SPIP 4.2.2 | Branche stable | PHP 7.4 à PHP 8.2 |
| SPIP 4.1 | SPIP 4.1.9 | Branche stable | PHP 7.4 à PHP 8.1 |
Les versions SPIP 4.0 et antérieures ne sont plus maintenues.
| Branche | Version | Suivi | Compatibilité PHP |
|---|---|---|---|
| SPIP 4.0 | SPIP 4.0.11 | Branche stable | PHP 7.3 à PHP 8.0 |
| SPIP 3.2 | SPIP 3.2.19 | Branche stable | PHP 5.4 à PHP 7.4 |
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13
Bien sûr, les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net
Vous pouvez aussi poster un message et échanger sur :
- La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
- La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net.
Messages
31 mai 2023, 14:23, par jeanmarie
Encore une fois, merci à la team de prendre du temps pour nos vieux SPIP alors même qu’ils ne sont plus censés être maintenus !
31 mai 2023, 15:15, par Marc Formaux
Bonjour,
J’ai tenté de mettre l’écran de sécurité 1.5.2 sur un site... antédiluvien (en 2.10).
Je sais que ça ne devrait pas exister, mais...
En essayant d’accéder à la gestion du site, j’ai eu le message d’erreur
Fatal error : Call to undefined function : strpbrk() in /mnt/114/sdb/c/8/calm.creteil/config/ecran_securite.php on line 657
J’ai remis la version du fichier précédente, et ç’est rentré dans l’ordre.
Quelque chose à faire, en dehors d’une mise à jour impérative de Spip ?
A voir si les plugins utilisés le permettraient...
Cordialement,
M. Formaux
31 mai 2023, 15:50, par zarn
Merci effectivement à l’équipe pour ces MAJ.
@Marc : j’ai des vieux SPIP 2.1.30 (dernière version en 2 publiée le 6 mars 2017) et adaptée pour PHP 7.4 et n’ai pas le problème que vous mentionnez suite installation de cet écran.
https://www.spip.net/fr_article6650.html?debut_releases=50#pagination_releases
31 mai 2023, 15:51, par zarn
Merci effectivement à l’équipe pour ces MAJ.
@Marc : j’ai des vieux SPIP 2.1.30 (dernière version en 2 publiée le 6 mars 2017) et adaptée pour PHP 7.4 et n’ai pas le problème que vous mentionnez.
https://www.spip.net/fr_article6650.html?debut_releases=50#pagination_releases
31 mai 2023, 16:19, par James
Et donc, Une 1.5.3 toute chaude.
Les conditions d’application restent les mêmes.
1er juin 2023, 20:43, par Jimijazz
Un grand merci aux chercheurs en cybersécurité qui ont identifié et signalé des contournements possibles du précédent écran de sécurité et signalé à la Team Spip, qui a su réagir avec célérité pour le bien de la belle et vaste communauté SPIP !
A l’attention de tous les admins SPIP, à défaut de pouvoir faire une montée de version de tout spip, il est trés important de faire monter et maintenir la version de l’écran de sécurité afin de se prémunir d’exploitations malveillantes avérées (la nouvelle version de l’écran de sécurité permet de se prémunir de ces exploitations).
Longue vie à spip !
18 novembre 2023, 15:59, par yvesD
Merci pour cet écran tout récent qui, semble-t-il, m’a permis d’étanchéifier mon très vieux 2.1.29
Puis-je retrouver dans les logs d’accès (ou d’erreur) Apache les tentatives qui ont été bloquées par ce cher. Comment faire ? (infomaniak me donne accès à ces logs là)