Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles, est d’envoyer un email à spip-team@rezo.net.
Deux des failles concernent les versions 2.0 et 2.1. La plus sévère ouvre la possibilité pour un membre non autorisé de se déclarer administrateur. Les deux autres concernent l’affichage de « full path disclosure » et une possibilité d’injection XSS.
La mise à jour du célèbre écran de sécurité ne protège pas des trois failles précitées : il n’a pas été possible de faire un code léger qui comblerait ces trois problèmes. Néanmoins, vous êtes encouragé à télécharger sa version la plus récente (1.0.6 du 05 novembre 2011) et la déposer dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).
Pour la version 1.9 la mise à jour de l’écran est suffisante si vous ne souhaitez pas passer en version 1.9.2n.
Pour les versions 2.0 et 2.1, nous vous recommandons de mettre à jour SPIP, car l’écran ne corrige pas les failles qui concernent spécifiquement ces versions.
En clair, nous vous recommandons fortement de mettre à jour.
N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :
Liste spip-user : http://listes.rezo.net/mailman/list...
Forum : http://forum.spip.org/
IRC : http://spip.net/irc
Comment mettre à jour ?
- par spip_loader.php : si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.12
- par copie des fichiers : SPIP 2.1.12 est disponible à l’adresse http://files.spip.org/spip/stable/
- par SVN ; si vous êtes dans la branche 2.1 faites simplement un « svn up » svn ://trac.rezo.net/spip/branches/spip-2.1 la version 2.1.12 est aussi disponible sous la branche : svn ://trac.rezo.net/spip/branches/spip-2-stable/ et sous le tag svn ://trac.rezo.net/spip/tags/spip-2.1.12/
Les versions 2.0.17 et 1.9.2.n sont téléchargeables ici : http://files.spip.org/spip/archives/
Discussions par date d’activité
5 discussions
Bonjour,
Pourriez-vous me dire où se trouve la version 2.1.12 dont il est question car le lien mentionné dans l’article ne marche pas.
N’y a-t-il pas moyen de remplacer juste le fichier mis à jour et non pas de réinstaller tout Spip ? Si oui quel est ce fichier ?
Merci d’avance
Je précise que la mise à jour via « spip_loader » ne marche pas chez moi : erreur code 2
L’url de l’article est corrigée Gégé, merci de l’avoir signalé
Répondre à ce message
Bonjour,
Je viens de passer de la Version 2.1.10 à la version 2.1.12 et les icônes n’affiche plus dans la partie privé, ainsi que la barre typographique dans un article !
La version PHP est 5.2.5 hebergeur Amen Base MySQL Version 5.0.45
Si quelqun a une idée, merci d’avance
PAT
Répondre à ce message
Bonsoir
quelqu’un le lien vers spiploader pour 1.9.2n, on devient feignant à la fin...
ou quel est le lien qu’il faut mettre dans celui disponible sur spip téléchargement ?
Merci infiniment
Répondre à ce message
Bonjour,
Que voulez-vous dire par « Pour la version 1.9 la mise à jour de l’écran est suffisante si vous ne souhaitez pas passer en version 1.9.2n. » ?
Y-a-t-il moyen de récupérer uniquement le(s) fichier(s) modifié(s) entre 1.9.2m et 1.9.2n, et si oui comment ?
Merci beaucoup.
Moi aussi j’aurai aimé connaitre le ou les fichiers à mettre à jour au lieu de tout remplacer. Beaucoup plus simple pour vérifier si mon site ne rejette pas la greffe, et en plus ça m’éviterai de passer en revue tous mes plugins qui modifient des fichiers de SPIP.
Le fait de récupérer seulement les modifications sur les fichiers précis ouvre aussi la porte à tous les hackers de pacotille sur les failles en questions. Ils n’auront plus qu’à tracker chez Google les site spas mis à jour et la plupart d’entre eux pourront trouver facilement où se trouvait le soucis.
Le mieux est indéniablement de passer par les recommandations officielles de l’équipe SPIP.
Rubenxela - Banque.org
par ailleur normalement les plugins ne devraient pas surcharger le code de SPIP, sauf très rares exceptions
Répondre à ce message
Merci beaucoup pour votre vigilance !
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |