Alerte Sécurité SPIP [2] - commentaires

Alerte Sécurité SPIP [2]

Pas de probleme. Comme son numéro l'indique, spip 1.9.1 est posterieur à Spip 1.8.2g , donc pas de soucis à te faire ;-)

Alerte Sécurité SPIP [2]

Bonjour,

Je suis nouveau parmis vous, je decouvre SPIP 191, et j'ai vu ce message, alors voila, qu'en est il pour SPIP 191 ?

pb install spip sur 1and1

Bonjour à tous, je galère comme un fou à installer spip. Je ne comprend pas, quand je vais sur http://monsite/, j'obtient la liste des fichiers contenu sur le serveur, ensuite lorsque je clique sur un fichie php ou php3 j'ai une erreur 404 ! J'ai essayé plusieurs manipes vu sur le net, mais rien n'y fait !

QUE FAIRE ?

si quelqu'un peut m'aider, svp !
Merci.

version 1.8.2g

comme cegetel ferme les espaces perso sans notifications d'une façon autoritaire, voici un endroit plus stable où trouver les 1.8.2g et 1.8.3 en version php

http://spip.monade.net/

Alerte Sécurité SPIP [2]

Un petit de google sur : spip 1and1 et tu auras la solution.

Alerte Sécurité SPIP [2]

C'est la première fois que je souhaite installer SPIP. J'ai téléchargé la version SPIP-v1-8-2-g.zip puis, comme j'avais le message ci-dessous, j'ai supprimé tous les fichiers installés sur mon FTP et j'ai essayé l'installation automatique avec le fichier spip_loader.php3 mais le même message s'affiche quand je lance l'installation en cliquant sur « commencer... » :

Fatal error : Call to unsupported or undefined function foreach() in inc_version.php3 on line 72

Je remercie par avance les personnes qui voudront bien m'aider à résoudre ce problème afin que je puisse découvrir ce gestionnaire de contenus Web.

PériGraphiste

PS : je travaille sur Mac.

Alerte Sécurité SPIP [2] à modifier pour site chez Online

apres avoir « bouclé » en rond, puis avec le concours de Christophe et Jean Michel.

Un site placé chez Online m'envoyait des erreurs 302 de façon systématique.
Il faut modifier la fonction redirige_par_entete, définie dans le fichier
inc_version.php

// envoyer le navigateur sur une nouvelle adresse
//function redirige_par_entete($url) {
//	header("Location: $url");
//	spip_log("redirige $url");
//	http_status(302);
//	spip_header("Location: $url");
//	exit;
//}

par

// fonction redefinie sleepr_fr
function redirige_par_entete($url) { spip_header("Refresh: 0; url=" . $url); spip_log("redirige $url"); echo ""; echo ""; echo "\n"; exit;
}

Alerte Sécurité SPIP [2]

Je vais refaire le transfert, fichier par fichier, demain matin...

Alerte Sécurité SPIP [2]

C'est pas « grave » mais pour le coup cela signifie que le fichier inc-version n'est pas passé et si celui-là n'est pas passé la question suivante c'est : est-ce que les autres sont bien passés ? :-)

Alerte Sécurité SPIP [2]

Je viens d'appliquer le correctif en me contentant de la mise à niveau depuis la 1.8.2^e. Dans la partie privée de mon site, j'ai toujours marqué 1.8.2^e. Est-ce grave, normal ou ai-je fait une boulette ?

Alerte Sécurité SPIP [2]

Bonjour à toutes et tous
J'ai du louper une étape... mais en quoi consiste ce « trou » de sécurité dans SPIP ?
C'est à dire quel est l'impact de cette faille sur un site SPIP ?
(modification des données,prise de contrôle du site, auto-destruction !!!???)
merci de vos réponses
Equino

Alerte Sécurité SPIP [2]

c'est bien ce que pensais, mais je prefère avoir la confirmation,
merci bcp !

Alerte Sécurité SPIP [2]

de 182^e vers 182g il n'y a pas de modification de la base, donc c'est tout a fait normal. Le fait que la version soit bien affichee en bas de l'espace privé prouve que la mise a jour a bien été faite.

Alerte Sécurité SPIP [2]

Bonjour,

Mon site était en 1.8.2^e, et j'ai effectué le transfert ftp des fichiers de mise à jour vers la 1.8.2g.
J'ai pu acceder à mon espace privé, qui m'indique bien le numéro de version 1.8.2g, mais je n'ai pas eu le message :
« Message technique : la procédure de mise à jour doit être lancée afin d'adapter la base de données à la nouvelle version de SPIP. Si vous êtes administrateur du site, veuillez cliquer sur ce lien. »

Est-ce normal ?
Est-ce que la mise à jour corrigeant la faille de sécurité a bien été effectuée ou dois-je recommencer ?

Merci pour vos reponses,

Rustine

Alerte Sécurité SPIP [2]

Bonjour,
Plusieurs choses m'étonnet vis à vis des mises à jour de Spip :
- la dernière mise à jour (vers la version 1.8.2 e) m'avais fait perdre mon site (ok, j'avais oublié de sauvegarder la base, mais j'ai laissé tomber depuis longtemps l'idée de sauver quoique ce soit avec Spip ou PhpMyAdmin
- la nouvelle mise à jour m'a fait perdre mon site à nouveau...

J'ai un autre site migrer, je me pose la question de la nécessité : dois-je à nouveau tout perdre ?!
Je pense que je vais attendre une mise à jour du système de mise à jour ?!

Alerte Sécurité SPIP [2]

le site que j'administre est sous 1.8.2 d en php.
existe-t-il une version 1.8.2 g en php ?
Et quelles sont les différences entre 1.8.2 d et 1.8.2 g en dehors de la correction de la faille de sécurité signalée.

Alerte Sécurité SPIP [2]

Le fait de te faire créer un répertoire avec un nom choisi au hasard par spip permet de vérifier que la personne qui essaye de mettre àjour est effectivement la personne gérantle site, et qui a donc accès par ftp au site pour créer un répertoire. Une fois que tu as crée le répertoire qu'il ta demandé, passe ses droits en 777, et normalement ce sera bon !

Alerte Sécurité SPIP [2]

Bonjour à tous,
Je viens d'effectuer la mise à jour de sécurité en remplacant les anciens fichiers par le pack que vous fournissez plus haut. Mais je n'arive plus à acceder à mon espace privé, ou du moins à y rentrer pour de bon : il m'indique en permanence ce message :

Message technique :
la procédure de mise à jour doit être lancée afin d'adapter la base de données à la nouvelle version de SPIP.
Si vous êtes administrateur du site, veuillez 'cliquer sur ce lien'

En 'cliquant sur ce lien', je tombe sur une page ou on m'indique que je dois créer un répertoire avec un nom des plus étranges.. Je le fais mais il ne se passe absolument rien. Le repertoire doit etre creer dans 'ecrire/data' mais apperement il n'en tient pas compte. Alors que faire ? Merci de vos idées !

Alerte Sécurité SPIP [2]

J'ai installé sur mon site la version développement, version alpha de septembre. La version développement en est à alpha béta et a été profondément remaniée. Je ne peux donc récupérer uniquement les fichiers concernés par le trou de sécurité sans passer par une reinstallation complète.
Je dois donc utiliser la nouvelle version... qui est bien trop nouvelle. Il y a trop de changement (fin du php3...) pour m'y risquer. Cette nuit, j'ai essayé de faire une chose qui n'est pas conseillé. J'ai exporté ma base sql sur mon pc, détruit tout les fichiers et la base aussi. Puis j'ai réinstallé la version 1.82 et une fois la procédure fini, j'ai réaspiré avec phpmyadmin la base sql de 1.9. Miracle, je me couche en croyant que ça a marché. En effet, j'ai pu accédé à l'espace privé. L'espace public fonctionne. Ce matin, je me réveille avec le message type : vous avez réinstallé une version antérieure : attention, il faut...
J'ai donc réinstallé la version 1.9. Et j'ai planté mon site. Sur un autre, j'ai réussi à réinstallé la version 1.9. Aussi, je ne désespère pas... mais tout ça ne résoudra pas le problème de la faille dé sécurité.
Quelqu'un pourrait-il m'aider ?

Alerte Sécurité SPIP [2]

Dans l'interface privé regarde en bas a droite le numéro de version que spip indique. Indique-t'il 1.8.2.g ?

Est-ce que ca veux dire que tout est ok ? Je ne suis pas sûr.

Alerte Sécurité SPIP [2]

j'ai fait la mise a jour du 04 fevrier, et suite au trasfert des fichiers par FTP, je n'ai rien qui s'est passé sur mon site tous va bien ? est ce normal et pouvez vous me dire comment verifier si ma mise a jour s'est correctement déroulé !!

merci

pour info l'adresse de mon site :

http://b.thomas1.free.fr/

Alerte Sécurité SPIP [2]

Bonjour,

on parle beaucoup de la 1.8. Qu'en est-il de la 1.7.2 ?
L'upgrade est-il obligatoire de la 1.7.2 à la 1.8.2g ?

Je sais lire et j'ai vu que cela avait l'air de concerner toutes les versions de spip, mais j'ai plusieurs gros sites avec des trucs spécifiques et j'aimerais être sûr que l'upgrade est incontournable avant de me lancer dans un boulot de fou.

Merci de votre réponse.

Alerte Sécurité SPIP [2]

Merci pour l'upgrade,

SPIP « spip_log » and « include_local »

Une autre vulnérabilité ?

version 1.8.2g

comme je ne les ai pas trouvé ailleurs, si cela peut aider, voici les version 1.8.2g en version complète PHP (spip182e + maj 182^e->g) :

- SPIP 1.8.2g (php) (2.3 Mo)
- SPIP 1.8.2g monolingue francais(php) (1.0 Mo)

Alerte Sécurité SPIP [2]

Bien vu : merci ! c'est corrigé.

Alerte Sécurité SPIP [2]

Merci pour l'upgrade.
Je crois bien que ecrire/inc_version.php3 est toujours marqué 1.8.2 f.
Pas grave ...
Bon courage !

Alerte Sécurité SPIP

L'idée c'est : si au départ vous aviez installé votre site avec spip loader, vous vous placez à nouveau sur le fichier spip_loader.php3 à la racine votre site afin qu'il procède à la mise à jour

Voila pourquoi c'est « http://www.monsite/spip_loader.php3 » et pas l'url pour lancer spip loader à l'installation initiale.

Alerte Sécurité SPIP

depuis la « d » il faut faire la mise à jour complète.

Alerte Sécurité SPIP [2]

alors ils sont où les fichiers à installer à partir de 1.8.2^e (seuls les fichiers !)

merci d'ajouter ceux en .php

Alerte Sécurité SPIP

Une précision : avec une version 182d faut-il faire la mise à jour complète en 182f ou peux t-on se contenter de changer les fichiers de formulaire ?

Merci

Alerte Sécurité SPIP

Pour l'install' automatique c'est plutôt cette adresse :
http://www.spip.net/spip-dev/INSTALL/spip_loader.php3

;-)

(Clic-droit : enregistrer la cible du lien sous)