SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > Mise à jour de sécurité : sortie de SPIP 3.1.4, SPIP 3.0.25 et SPIP  (...)

Mise à jour de sécurité : sortie de SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30

lundi 6 mars 2017, par La team

Suite au signalement d’une faille de sécurité dans le code de SPIP, nous sortons une nouvelle version dans toutes les branches maintenues : SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.

Cette faille est critique et permet l’exécution arbitraire de PHP.

Il est vivement conseillé de mettre à jour sa version de SPIP et de tous ses plugins, notamment si vous utilisez le plugin SPIPDF.

Pour les personnes ne pouvant pas mettre à jour rapidement, il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité qui corrige cette faille.
http://www.spip.net/fr_article4200.html

Merci à RealET et Yannick Siegler pour ce signalement.

Ces nouvelles versions comprennent aussi des correctifs de bugs identifiés ces derniers mois :

  • Correction de compatibilités avec PHP 7.1
  • Permettre les recherches contenant le caractère « / »
  • Meilleure détection des fichiers de langues
  • Meilleure gestion de https:// avec des reverse proxies
    Consulter l’ensemble des corrections apportées

Les mises à jour suivantes sont disponibles :

Version 3.1.4
http://files.spip.net/spip/archives/SPIP-v3.1.4.zip

Version 3.0.25
http://files.spip.net/spip/archives/SPIP-v3.0.25.zip

Version 2.1.30
http://files.spip.net/spip/archives/SPIP-v2-1.30.zip

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.9) qui installe SPIP 3.1 par défaut.
http://www.spip.net/spip-dev/INSTAL...

Résumé des versions de SPIP

Branche Version Suivi
SPIP 3.1 SPIP 3.1.4 Branche stable
SPIP 3.0 SPIP 3.0.25 Branche maintenue
SPIP 2.1 SPIP 2.1.30 Branche maintenue (mise à jour de sécurité uniquement)

Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter un piratage.

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur http://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

Messages

  • Merci pour votre réactivité !

  • Bonjour,

    J’ai rarement vu un cms aussi pourri que le votre. Vous feriez mieux de respecter les standards plutôt que de vouloir vous démarquer avec une solution complètement moisie, et un pseudo langage illisible et pathétique.

    Bonne journée.

  • Il n’y a jamais de faille chez les autre Nicolas, c’est bien connu.

    Bisous et bonne journée

  • A peine lu le signalement pendant le WE, que le correctif était la le Lundi, autant de professionnalisme, de dévouement à la cause commune, je dis bravo et merci.

  • Pour le petit Nicolas : t’as pu mettre un commentaire, donc SPIP c’est pas si compliqué que ça visiblement ;-)

  • Merci Nicolas pour cette remarque claire, pertinente, fondée, sourcée et étayée.

  • Nicolas, tu as totalement raison allez soyons fou retournons tous sur wordpress galerer comme des chiens galeux avec des plugins à moitié finis et qui sont incompatible avec les nouvelles mises à jours.
    Spip is the Best !

  • « Bien sûr les réseaux sociaux sont de la partie »
    On est plein de francophones à avoir quitté Facebook et Twitter et on serait enchanté de vous retrouver sur un des nombreux pods Diaspora* (sans forcément fermer vos comptes des réseaux moins respectueux) !

    À bientôt, j’espère !

  • Y’a pas eu d’annonce sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann ?

  • @Eric : j’ai bien reçu un mail spip-ann. Il semble que ce soit l’archiviste qui ait un problème.

  • Bonjour.

    Je ne reviens pas sur le commentaire indispensable de @Nicolas...

    Ma question serait de savoir qu’elle est cette faille ?
    Via les formulaires de contacts ?
    J’ai dispatché l’écran de sécurité sur mes 20 sites dont j’ai la responsabilité.
    Est-ce suffisant pour l’instant ?

    Merci de m’éclairer.

  • Salut, à notre connaissance la faille en question exploitait un problème mis en évidence par le plugin SPIPDF. Elle n’est pas exposée dans les formulaires de contact du core, l’écran de sécurité et une mise à jour des plugins peut suffire, mais comme on le dit toujours, un SPIP à jour est la solution la plus sûre.

  • Bravo et Merci à l’équipe SPIP pour son professionnalisme et sa réactivité, nous pouvons ainsi continuer sereinement avec cet excellent CMS !

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.