SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Release > SPIP 2.1.9

SPIP 2.1.9

vendredi 25 mars 2011, par Ben.

Bonjour,

nos services (merci encore une fois Arnault) viennent de découvrir un
trou de sécurité dans SPIP, permettant une injection de type
cross-site-scripting (XSS).

L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005),
il est clair que TOUTES les versions de SPIP sont touchées.

Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html,
qui se trouve dans le répertoire :

  • dist/ en version SPIP 1.9
  • squelettes-dist/ en version SPIP 2.0 ou 2.1
  • extensions/dist_2007/ en version de dev

Si vous avez personnalisé ce squelette, le correctif consiste
simplement à supprimer étoile et filtre pour transformer l’expression
#ENV*{erreur}|propre en #ENV{erreur}.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un email
à spip-team@rezo.net.

N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir
de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité ; si vous n’avez pas le temps de faire tout
de suite une mise à jour complète, vous pouvez sécuriser en deux
minutes votre site en téléchargeant la version 1.0.1 de l’écran
de sécurité, et en la déposant dans votre répertoire config/
cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php
pour installer SPIP 2.1.9

3. par FTP : SPIP 2.1.9 est disponible à l’adresse
http://files.spip.org/spip/stable/

4. et bien sûr par SVN ;
faites simplement svn up

  • dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
  • dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
  • sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/

Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14
que vous trouverez sur http://files.spip.org/archives

Messages

  • Est-ce que quelque chose peut être fait au niveau de l’écran de sécurité, plutôt ?

  • il est écrit dans le message : « si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 »

  • Ce qui nous fait un -500 pour nh ! tu vas avoir du mal à remonter la pente à coup de +1 :)

  • Bonjour,

    est ce que avec « l’écran de sécurité » permet de couvrir cette faille ? ou il faut absolument mettre à jour.

  • Soon : OUI ... la phrase n’est pas explicite ? : Comme d’habitude, plusieurs possibilités pour la mise à jour : 1. l’écran de sécurité ; si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html

  • Est-ce qu’il suffit de « transformer l’expression #ENV*{erreur}|propre en #ENVerreur » pour se prémunir de cette faille ou faut-il en plus faire la mise à jour selon l’une des 4 méthodes indiquées ?

  • Suffit-il de « transformer l’expression #ENV*{erreur}|propre en #ENV{erreur} » du fichier 404 pour se prémunir de cette faille ou faut-il aussi faire la mise à jour selon l’une des 4 méthodes indiquées ?

  • cela suffit (de « transformer l’expression #ENV*{erreur}|propre en #ENV{erreur} »)

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.