SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > SPIP 1.9.2n, 2.0.17, 2.1.12 disponibles

SPIP 1.9.2n, 2.0.17, 2.1.12 disponibles

jeudi 17 novembre 2011, par Ben.

Bonjour,

Plusieurs failles de sécurité ont été repérées (Merci à High-Tech
Bridge SA Security Research Lab, Davy et Arnault) dans les
versions 1.9, 2.0 et 2.1 de SPIP.

Nous rappelons à toutes et tous que le meilleur moyen pour signaler
des failles, ou des suspicions de failles, est d’envoyer un email
à spip-team@rezo.net.

Deux des failles concernent les versions 2.0 et 2.1.
La plus sévère ouvre la possibilité pour un membre non autorisé
de se déclarer administrateur.
Les deux autres concernent l’affichage de « full path disclosure » et une
possibilité d’injection XSS.

La mise à jour du célèbre écran de sécurité ne protège pas des trois
failles précitées : il n’a pas été possible de faire un code léger qui
comblerait ces trois problèmes. Néanmoins, vous êtes encouragé à
télécharger sa version la plus récente (1.0.6 du 05 novembre 2011)
et la déposer dans votre répertoire config/
(cf. http://www.spip.net/fr_article4200.html).

Pour la version 1.9 la mise à jour de l’écran est suffisante si vous
ne souhaitez pas passer en version 1.9.2n.

Pour les versions 2.0 et 2.1, nous vous recommandons de mettre à
jour SPIP, car l’écran ne corrige pas les failles qui concernent
spécifiquement ces versions.

En clair, nous vous recommandons fortement de mettre à jour.

N’hésitez pas à utiliser les différents moyens mis à disposition par la
communauté pour obtenir de l’aide lors de cette mise à jour :
- Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- Forum : http://forum.spip.org/
- IRC : http://spip.net/irc

Comment mettre à jour ?


1. par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l’adresse
http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.12

2. par copie des fichiers :
SPIP 2.1.12 est disponible à l’adresse
http://files.spip.org/spip/stable/spip.zip

3. par SVN ;
si vous êtes dans la branche 2.1 faites simplement un « svn up »
svn ://trac.rezo.net/spip/branches/spip-2.1
la version 2.1.12 est aussi disponible sous la branche :
svn ://trac.rezo.net/spip/branches/spip-2-stable/
et sous le tag
svn ://trac.rezo.net/spip/tags/spip-2.1.12/

Les versions 2.0.17 et 1.9.2.n sont téléchargeables ici :
http://files.spip.org/spip/archives/

Post Scriptum :


Comment être tenu au courant de ces annonces ? Le plus simplement du monde en
s’inscrivant sur la mailing liste
http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux ne sont pas en reste :
- @spipeau : http://twitter.com/spipeau
- Facebook : http://www.facebook.com/pages/SPIP/174695777822
- Seenthis : http://seenthis.net/people/spip

Messages

  • Bonjour,

    Que voulez-vous dire par « Pour la version 1.9 la mise à jour de l’écran est suffisante si vous ne souhaitez pas passer en version 1.9.2n. » ?

    Y-a-t-il moyen de récupérer uniquement le(s) fichier(s) modifié(s) entre 1.9.2m et 1.9.2n ?

    Merci beaucoup.

  • Bonjour,
    Je ne suis pas sûr d’être au bon endroit pour poser ma question mais je n’ai pas trouvé un lien forum pour les questions nouvelles.
    Voilà :
    Je suis hébergé chez Free mais Free semble se désintéresser des pages perso (par exemple on ne dispose plus des stats webalizer : supprimées sans prévenir avec réponse ’En maintenance’ et depuis plusieurs mois.
    Je cherche un autre hébergeur et je voudrais savoir quel est l’hébergeur qui a la préférence de la communauté SPIP SARKA pour le choisir
    D’avance merci et encore toutes mes excuses si je ne suis pas sur le bon forum.
    Cordialement

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.