Accueil > Release > Mise à jour critique de sécurité :  sorties de SPIP 4.0.5 et SPIP  (...)

Mise à jour critique de sécurité :  sorties de SPIP 4.0.5 et SPIP 3.2.14

samedi 5 mars 2022, par La team

Suite au signalement d’une faille critique de sécurité, nous publions une version 4.0.5 ainsi qu’une version 3.2.14.

SPIP 4.0.5

Cette version SPIP 4.0.5 corrige

  • une faille critique qui permettait une exécution arbitraire de code PHP (avec un accès rédacteur au site). Merci à g0uZ pour le signalement :)
  • une faille permettant un accès non authentifié et non autorisé à des informations des objets éditoriaux. Merci à g0uZ de nouveau.

L’écran de sécurité ne couvre pas ces failles, il est donc indispensable de mettre à jour.

Autres corrections

  • Ne pas créer d’erreur fatale en PHP 8 si ini_set() est désactivé.
  • Correction d’échappements (avec SQLite)
  • Quelques warnings corrigés
  • Mots : permettre d’afficher les mots du groupe que l’on souhaite dans un formulaire d’association de mots clefs dans l’espace public
  • Dist : rétablir l’affichage du message d’erreur quand le lien de changement de mot de passe est invalide

Changements

La faille principale exploitait un code non utilisé dans SPIP depuis SPIP 3.0 concernant un mode Galerie sur l’ajout de documents du plugin Médias. Il était encore présent pour compatibilité ascendante. Il est extrêmement peu probable que des sites utilisaient encore cette fonctionnalité depuis SPIP 3.0.

Néanmoins si tel était le cas sur votre site (et que c’est encore utilisé), il faut maintenant déclarer absolument le ou les fichiers de galerie autorisés à SPIP en les indiquant dans la variable globale medias_deprecated_liste_galeries qui est un tableau listant ces fichiers.

Nous avons par ailleurs déprécié totalement ce code, qui sera donc supprimé dans une prochaine version, probablement pour SPIP 5.0.

SPIP 3.2.14

Cette version SPIP 3.2.14 corrige une faille critique qui permettait une exécution arbitraire de code PHP (avec un accès rédacteur au site). Merci à g0uZ pour le signalement :)

Autres corrections

  • Mots : permettre d’afficher les mots du groupe que l’on souhaite dans un formulaire d’association de mots clefs dans l’espace public
  • Dist : rétablir l’affichage du message d’erreur quand le lien de changement de mot de passe est invalide

Changements

Même remarque (et adaptations éventuelles) que pour SPIP 4.0.5.

À venir

Nous allons publier très rapidement une version SPIP 4.1.0-rc avec plus de changements que prévu initialement !

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 5.1.0).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé des versions de SPIP

Branche Version Suivi Compatibilité PHP
SPIP 4.1 SPIP 4.1.0-beta Branche test PHP 7.4 à PHP 8.1
SPIP 4.0 SPIP 4.0.5 Branche stable PHP 7.3 à PHP 8.0
SPIP 3.2 SPIP 3.2.14 Branche stable PHP 5.4 à PHP 7.4

Les versions SPIP 3.1 et antérieures ne sont plus maintenues.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net

Vous pouvez aussi poster un message et échanger sur :

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Messages

  • Bonjour,

    Le lien sur la page https://www.spip.net/fr_download ne permet pas de télécharger la version 4.0.5 mais la .0.4 contrairement à ce qui est indiqué dans le mail d’alerte pour la faille de sécurité.

    N’utilisant pas SPIP_loader, merci d’avance pour cette correction pour ajouter dans cette page un lien vers la version 5.

    Vous souhaitant malgré tout un agréable week-end.
    Cordialement,
    Denis

  • Merci @inaden,

    C’était en fait juste un petit problème de cache de la page fr_download. C’est corrigé.

    Merci.

  • Merci.
    Bon dimanche.

  • Bonjour,
    j’ai récupéré la 3.2.14 pour remplacer une 3.2.11 en mode bourrin (on écrase tout sauf img et connect)
    Contrairement à d’habitude, le N° de version dans le privé, est resté en 3.2.11
    Même après avoir tué le local, le TMP et effacé le cache.
    C’est grave docteur ?

    Clt

  • je me répond à moi-même :
    Je mettais à jour un autre site, vraiment bourrin à tous les niveaux...
      :)
    désolé pour le bruit inutile
    Clt

  • Bonjour,

    Je viens de migrer de spip 3.2.12 (version 3.2.14 dispo) vers Spip 4.0.5 avec
    HTML5 UP Landed 1.2.2.
    Changeant d’hébergeur je suis parti sur une installation fraîche.
    Tout semble bon pour le moment dans mon cas en mode compatibilité forcée.

    _ Passage à spip 4.0.5

    Pour migrer j’ai fait :
     un dump sql via phpmyadmin (export sql de ma bd spip 3.2.12 puis import via phpmyadmin dans ma nouvelle base.
     modifié le préfixe de table dans config/connect.php par celui de mes anciennes tables
     retourné sur monsitespip/ecrire
     validé la mise à jour de la base de donnée proposée dans l’espace privé

    _ Intallation de HTML5 UP Landed 1.2.2

    J’ai modifié le fichier config/mes_options.php en ajoutant une ligne

    // compatibilité forcée pour plugin spip 3.2
    define('_DEV_VERSION_SPIP_COMPAT',"3.2.99");

    puis installé HTML5 UP Landed 1.2.2 via l’url
    https://files.spip.org/spip-zone/spip-contrib-squelettes/html5up_landed-3b58e-v1.2.2.zip
    J’ai installé le plugin Saisies pour formulaires 4.3.2 (≥ 3.23.2 nécessaire pour html5_landed) compatible spip 4.0 via l’url :
    https://files.spip.org/spip-zone/sp...

    Et c’est tout bon.

    Cordialement, Anthony.

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.