Allarme di Sicurezza SPIP + nuova versione SPIP 2.0.9

Publié le : 6 août 2009 – Dernière modification le 1er septembre 2009 – par mmmx

عربي, English, français, italiano
1
2
3
4
5
4 votes

Un grave problema di sicurezza è stato scoperto in SPIP. Tutto quello che c’è da fare al riguardo

(da un avviso postato sulla mailing list « spip-ann » )

Salve,
Un grave problema di sicurezza è appena stato scoperto : questa falla interessa tutte le versioni SPIP dalla 2.0.x alla 2.0.8, e anche il ramo 1.9. Questa falla permette a un hacker sprovvisto di qualsiasi password di prendere il controllo del sito web SPIP e del web server.

Questo allarme va preso molto seriamente in quanto non è stato scoperto da persone carine ma da un vero malintenzionato che ha preso il controllo di un sito esistente, per inserirvi malawere.

Correzioni :

Oggi sono state pubblicate 2 versioni di mantenimento di SPIP, che sistemano il problema :

  • SPIP 2.0.9, ultima versione ufficiale stabile, che offre la patch e una serie di miglioramenti indicati più sotto.
  • SPIP 1.9.2i, versione di mantenimento per il branch 1.9.2

Per il Download : http://files.spip.org/spip/stable/
http://files.spip.org/spip/archives/ (per la 1.9.2i)

o, se preferite usare spip_loader : http://xxx.example.tld/spip_loader.php

Per gli specialisti di sicurezza informatica, la sola patch di sicurezza, che risolve solo questa falla senza apportare ulteriori modifiche e migliorie, può essere trovata qui :
-  http://fil.rezo.net/secu-14346-1435...
Controllare le revisioni [14347] [14348] [14349] [14350] e [14354].

Per il branch 1.9.2x la patch è disponibile qui :
-  http://trac.rezo.net/trac/spip/chan...

Security Screen :

Se non avete possibilità di fare l’upgrade completo alle nuove versioni, vi consigliamo di proteggervi dalla falla istallando al più presto sui vostri siti SPIP « security screen ». Potete trovarlo qui :
http://www.spip.net/fr_article4200.html (Fr.)

Questo « screen » permette di bloccare alcuni attacchi senza la necessità di upgrading di SPIP.

Ringraziamenti :

Questa falla è stata scoperta e analizzata da Thomas Sutton e Pierre Rousset.

Vorremmo ricordarvi anche che il miglior modo per segnalare falle di sicurezza in SPIP è di scrivere una mail a spip-team [AT] rezo.net

Discussion

5 ans 1 an 3 mois Sans limite
par date
Filtrer

Aucune discussion

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom