SPIP 1.9.2k, 2.0.16, 2.1.11
et 3.0.0-beta disponibles

Bonjour,

plusieurs failles de sécurité ont été repérées dans les versions 1.9.2, 2.0 et 2.1 de SPIP.

Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team chez rezo.net.
C’est ce qu’a fait Laurent Estieux (TEHTRI-Security) et nous l’en remercions.

La faille concernant la version 1.9.2 est majeure (injection sql) et si vous avez une version 1.9.2 de SPIP, nous conseillons vivement de faire la mise à jour en 1.9.2.k.

Concernant les versions 2.0 et 2.1, si l’impact sur un site est moins important (full path disclosure), nous conseillons toutefois de mettre à jour en 2.0.16 et 2.1.11.

Dans tous les cas vous avez toujours la possibilité de protéger rapidement votre site (en attendant sa mise à jour complète) en téléchargeant la version 1.0.5 (26 juillet 2011) de l’écran de sécurité, et en la déposant dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).

N’hésitez pas à utiliser les différents moyens mis à disposition de la communauté (http://boussole.spip.org) pour obtenir de l’aide lors de cette mise à jour ; en particulier :


Avertissement :

Noter qu’à la sortie de la version 3.0, le support de la branche 1.9.2 sera définitivement abandonné.


Comment mettre à jour ?

  1. par spip_loader.php :
    si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.11
  2. par copie des fichiers :
    SPIP 2.1.11 à l’adresse http://files.spip.org/spip/stable/spip.zip
    SPIP 2.0.16 à l’adresse http://files.spip.org/spip/archives/SPIP-v2-0-16.zip
    SPIP 1.9.2k à l’adresse http://files.spip.org/spip/archives/SPIP-v1-9-2k.zip
  3. par SVN :
    si vous êtes dans la branche 2.1 faites simplement un svn up
     : svn ://trac.rezo.net/spip/branches/spip-2.1
    la version 2.1.11 est aussi disponible sous la branche : svn ://trac.rezo.net/spip/branches/spip-2-stable/
    et sous le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.11/

Suite à un mouvement de foule concernant de multiples on-dit sur la date de sortie de la version 3.0, l’équipe SPIP-team se doit de réagir et faire taire toute rumeur : « La version SPIP 3.0.0 sortira quand elle sera prête ! »
D’ici là vous pouvez tester in situ ce qu’elle propose sur http://grml.eu/spip.php?article1
Ou encore la télécharger sur http://files.spip.org/spip/dev/SPIP-3-beta.zip (elle est disponible en version beta ce qui veut dire que l’on se rapproche de la date de sortie).

P.-S.2

Avez-vous vu le tout nouveau tout beau http://plugins.spip.net ? En fait il n’est pas vraiment nouveau et il a toujours été beau. Mais il est maintenant complètement automatique et basé sur de « puissants algorithmes » :-)
Pour en savoir plus : http://plugins.spip.net/spip.php?article1
La peinture est encore toute fraîche donc il se peut qu’il y ait quelques coulures encore, mais allez-y.

Discussion

Aucune discussion

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom