Version 1 — Février 2021 — JLuc — Version initiale
Des failles de sécurité nous ont été signalées sur la branche 3.2, elles permettent à des auteurs identifiés d’exécuter du code PHP arbitraire. La version SPIP 3.2.9 corrige ces failles.
Nous sortons aussi une version SPIP 3.1.15 qui corrige ces failles pour la branche 3.1.
Il est impératif de mettre à jour votre site SPIP dès que possible.
Attention : si vous êtes est sous SVN : le dépôt SVN n’est plus mis à jour. Il faut donc passer sous Git.
Il n’a pas été possible de faire en sorte que l’écran de sécurité corrige ces failles, nous vous conseillons donc vivement de faire cette mise à jour.
Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 4.3.0).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php ( les sources du spip_loader sont ici https://git.spip.net/spip-contrib-outils/spip_loader si vous souhaitez )
Branche | Version | Suivi |
---|---|---|
SPIP 3.2 | SPIP 3.2.9 | Branche stable |
SPIP 3.1 | SPIP 3.1.15 | Branche maintenue |
Les versions SPIP 3.0, 2.1 et antérieures ne sont plus maintenues.
Même si elles ne sont pas impactées par cette faille, il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.
Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Si vous êtes un peu perdu⋅e il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur la liste spip-dev https://listes.rezo.net/mailman/listinfo/spip-dev
C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann
Bien sûr les réseaux sociaux sont de la partie :
En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net