SPIP Blog
Mise à jour critique de sécurité : sortie de SPIP 4.2.1, SPIP 4.1.8, SPIP 4.0.10 et SPIP 3.2.18Ces versions corrigent une faille critique dont une pouvait permettre de l’exécution de code (RCE) depuis l’espace public dans certains contextes de saisie utilisateur et aussi dans l’espace privé.
Encore une fois, merci à Glop pour l’analyse complète et détaillée transmise.
En plus de la correction de sécurité, la branche 4.1 a bénéficié de corrections de bugs dont le détail est disponible dans le fichier CHANGELOG.
Ces versions sont les dernières pour les branches 3.2 et 4.0, dont la fin du support a été annoncée lors de la sortie de SPIP 4.2.
Cette faille est prise en charge par l’écran de sécurité, voir la documentation sur spip.net.
Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 5.3.0)
Le spip_loader est maintenant distribué à l’adresse suivante :
https://get.spip.net/
Le spip_loader.php est maintenant au format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).
Résumé des versions de SPIP
| Branche | Version | Suivi | Compatibilité PHP |
|---|---|---|---|
| SPIP 4.2 | SPIP 4.2.1 | Branche stable | PHP 7.4 à PHP 8.2 |
| SPIP 4.1 | SPIP 4.1.8 | Branche stable | PHP 7.4 à PHP 8.1 |
Les versions SPIP 4.0 et antérieures ne sont plus maintenues.
Exceptionnellement nous proposons quand même de nouvelles versions dans ces branches pour corriger cette faille. Nous vous recommandons toutefois de mettre à jour votre SPIP dans une version maintenue dès que possible.
| Branche | Version | Suivi | Compatibilité PHP |
|---|---|---|---|
| SPIP 4.0 | SPIP 4.0.10 | Branche stable | PHP 7.3 à PHP 8.0 |
| SPIP 3.2 | SPIP 3.2.18 | Branche stable | PHP 5.4 à PHP 7.4 |
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?
C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13
Bien sûr, les réseaux sociaux sont de la partie :
- Seenthis : https://seenthis.net/people/spip
- Twitter : https://twitter.com/spip
- Facebook : https://www.facebook.com/spip.net
- Mamot : https://mamot.fr/@spip
Une question, besoin d’aide ?
En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net
Vous pouvez aussi poster un message et échanger sur :
- La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
- La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net.
Messages
28 février 2023, 07:29, par Etienne
Merci et sympa d’avoir releasé pour les gens encore en SPIP 3.2 et SPIP 4.0 :)
3 mai 2023, 07:56, par Natacha
Bonjour
j’ai été victime moi aussi de ce hack (2 fichiers à la racine, un data.php et un autre au nom aléatoire) mais à part les 2 fichiers en question et la création du fichier config/bases/spip.sqlite (vide) que fait exactement ce hack ? il vole les mots de passe ?
il arrive à les décoder ? car si c’est le cas il faut aussi changer tous les mots de passe en plus des maj
il y a t’il d’autres fichiers modifiés ?
merci de vos retours
Cordialement
Natacha
15 mai 2023, 16:01, par Megatro
Bonjour,
C’est la même pour nous.
(2 fichiers à la racine, un data.php et un autre au nom aléatoire).
Ils essayez de retrouver des session cookies, et la base sqlite, mais c’est pas sur s’il y n’a pas des autres expolits invisibles...
Merci pour toute la travail.