SPIP 2.1.8 corrige une importante faille de sécurité - commentaires

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai le même problème que Luc avec prive...

Enas

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour.

Je viens d'installer la dernière version de spip.
J'ai un seul souci. J'ai ce message :

Fatal error : Call to undefined function compacte_css() in /homez.194/omathima/www/ecrire/public/composer.php(49) : eval()'d code on line 87

quand je veux me connecter. Quel est le problème ?

Merci d'avance.

Le site.

Enas

SPIP 2.1.8 corrige une importante faille de sécurité

OK merci !

SPIP 2.1.8 corrige une importante faille de sécurité

bah ce n'est pas propre à SPIP.

en gros le fichier .htaccess interdit d'accéder à ces repertoires, et c'est important pour des raisons de sécurité.

Le repertoire /prive lui doit être accesible par http.

Mais si tu ne veux pas qu'en se rendant sur /prive on voit l'ensemble du contenu (mais à vrai dire ce n'est pas très grave qu'on le voit) tu peux mettre un fichier index.html vide.

SPIP 2.1.8 corrige une importante faille de sécurité

tmp et config ont un fichier .htaccess
ne connaissant pas très bien spip, peux-tu préciser au sujet de ce fichier index.html ?
dois-je le configurer ?

SPIP 2.1.8 corrige une importante faille de sécurité

en fait le seul dossier auquel il faut interdire l'accés c'est tmp et config.

Je t'ai répondu trop vite. Il faut que le navigateur puisse accéder aux autres dossiers.

Si tu veux pas qu'ils soient listés, met un fichier index.html

SPIP 2.1.8 corrige une importante faille de sécurité

.htaccess est en revanche dans le sous dossier tmp et effectivement on ne peut y avoir access
(www.monsite.net/tmp)...
faut-il donc copier le fichier dans les dossiers qui ne l'ont pas ?

SPIP 2.1.8 corrige une importante faille de sécurité

Euh... non ! (j'ai bien coché l'affichage des dossiers cachés dans mon FTP)

SPIP 2.1.8 corrige une importante faille de sécurité

il devrait y en avoir dans chacun de ces dossiers...

SPIP 2.1.8 corrige une importante faille de sécurité

Merci pour ta réponse rapide Maïeul
le .htaccess est à la racine du site
comment s'avoir s'il est bien activé chez l'hébergeur ?

SPIP 2.1.8 corrige une importante faille de sécurité

vérifie qu'il y a bien le fichier .htaccess dans ces dossiers (avec FTP) et que le .htaccess est bien activé chez ton hébergeyr

SPIP 2.1.8 corrige une importante faille de sécurité

ou d'ailleurs pour tout autre sous dossier ou fichier...

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai fait la mise à jour.
Maintenant si par exemple je tape dans un navigateur : www.monsite.net/prive
que vois-je alors ? tous les fichiers et sous dossiers du dossier privé...
Est-ce normal ?

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai oublié de signaler que j'utilise SPIP 2.1.8 et l'écran 1.0.0.

SPIP 2.1.8 corrige une importante faille de sécurité

Souci avec l'écran de sécurité

L'écran de sécurité bloque l'ajout de messages dans l'espace privé (du moins sous un article, pas essayé le reste).

En ajoutant un message, la roue ajax continue à tourner mais le message n'est jamais accepté. Si on désactive le javascript du navigateur, on tombe sur une page http://monsite.tld/ecrire/?exec=poster_forum_prive (Error 403 : Forbidden) disant

Error 403

You are not authorized to view this page (exec)

comme quand on utilise l'écran de sécurité.

D'ailleurs, renommer ce dernier arrange l'affaire.

SPIP 2.1.8 corrige une importante faille de sécurité

Je suis parti de ce principe, ça a l'air d'être ok...

SPIP 2.1.8 corrige une importante faille de sécurité

@Fil, 0.9.10, ça marche. ;-)

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour à tous

je vens de migrer de 2.1.6 vers 2.1.8.le site fonctionne bien sauf les mots de passe inserrer dans les articles ne sont plus pris en compte . et j'ai des erreur dans le squelettes au niveau des boulces.

Quelqu'un peut me venir en aide !!!!!!!!!!!!!!!!!!!!

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour, avec cette version de spip (installée d'emblée- sans mise à jour donc) j'ai un problème avec les plugins, qui ne sont pas reconnus si je les dézip et les passe par FTP, encore moins via un lien, et voilà l'erreur affichée :
Warning : array_merge() [function.array-merge] : Argument #1 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
Warning : array_merge() [function.array-merge] : Argument #2 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
Merci par avance pour votre aide

SPIP 2.1.8 corrige une importante faille de sécurité

Merci , trop fort !!!

SPIP 2.1.8 corrige une importante faille de sécurité

Corrigé en http://zone.spip.org/trac/spip-zone/changeset/44288

& on en profite pour donner la version 1.0.0 première release « stable » de l'écran

(après 0.9.9 je n'avais guère le choix :-) )

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

Impression PDF d'un article contenant un formulaire :

Lorsque j'imprime en PDF avec le plugin « article_pdf_2_0 » et la version SPIP 2.1.8 un article contenant un formulaire j'obtiens, au lieu du formulaire, des lignes de code du formulaire dans le pdf qui, injectées dans ce message du forum, sont interprétée correctement dans le messages :

http://www.spip-contrib.net/Article-PDF,2226#forum440711

Je ne sais si 'erreur provient du plugin « article_pdf_2_0 » ou de la nouvelle version SPIP 2.1.8 !

Avez-vous une idée de l'erreur ?

cordialement

FDG

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

Désireux de limiter les problèmes de compatibilité avec les plugins, j'ai choisi de faire la mise à jour SPIP-2.0.10 vers SPIP-2.0.13 (car comme il est écrit ci-dessus : « Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. »)

Or après l'upload FTP et en dépit d'avoir vidé le cache, je n'obtient aucune réaction lors de ma connexion dans l'espace privé. Le pied de page de l'espace privé indique toujours : SPIP 2.0.10 [14698].

Comment savoir si la mise à jour a fonctionné ?

Merci pour votre aide !

SPIP 2.1.8 corrige une importante faille de sécurité

C'est bon, j'ai eu le même message et vu les changement, vous n'avait pas de soucis a vous faire.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

J'ai eu le même message.

Comment savoir si la version 2.1.8 est bien installée ?

Merci

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour j'ai exactement le meme probleme !!!!! Mes fichiers modifiés ne sont plus acceptés en passant de 1.9 à 2.1 comme si la connexion au forum sautait (plus de demande de connection et prévisualisation ne marche plus). Si vous avait une issue pour avoir plusieurs formulaire cote a cote sous une version 2.1 ce serait cool.
MERCI et bon weekend.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonsoir,
J'ai un souci depuis le passage à la 2.1.8 (depuis la 1.8.2^d).

J'avais personnalisé 3 #formulaire_forum pour 3 utilisations distinctes :

- 3 x fichiers personnalisés dans /formulaires/ du type forum_x.html

- 3 x appels depuis mes fichiers dans squelettes forum_x.html avec la balise #FORMULAIRE_FORUM_X

- 3 x fichiers dans /ecrire/balise du type formulaire_forum_x.php

Hors cette méthode ne fonctionne plus, je n'obtiens plus le ticket d'authentification et la prévisualisation ne passe plus.

Avez-vous une solution ou un sujet qui traiterait de la duplication de plusieurs #FORMULAIRE_FORUM ? Merci bien à la communauté. Yvan

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai eu un problème semblable avec Iceweasel (firefox) sous Debian.
L'utilisation d'un autre navigateur ne reproduisait pas le problème ...
Je n'ai pas d'explication, mais ça peut être une piste pour toi.

Rudu

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

SPIP 2.1.8 nous pose un problème avec le plugin « Forms & Tables ».

En effet :

Le plugin FORMS & TABLES est opérationnel avec SPIP 2.1.2, il ne l'est plus avec SPIP 2.1.8, si ce n'est à condition de mettre en place une règle de redirection qui réécrit l'URL lorsque le segment /ecrire/ est répété deux fois comme suit /ecrire/ecrire/. Dès lors le plugin fonctionne normalement.

Nous avons donné une description du problème et de ses rémédiations ici :

FORMS & TABLES avec SPIP 2.1.8

Bonne continuation et meilleurs messages

FDG

SPIP 2.1.8 corrige une importante faille de sécurité

Plus aucun mot compte ne fonctionne depuis passage en 2.1.8

Je suis passé d'une version 2.1.x vers 2.1.8 récemment et je viens de m'apercevoir que plus aucun compte utilisateur ne peut se connecter y compris le compte administrateur.

J 'ai suivi la procédure « perte de mot de passe » (et ce pour plusieurs comptes) , on m'a bien renvoyé un lien par email pour donner le nouveau mot de passe, ce que je fais mais de nouveau impossible de se connecter : « Erreur de mot de passe. »

J'ai aussi suivi les conseils de cet article
http://www.spip.net/fr_article1472.html

Sans plus de succès

Une idée ?

Merci
patrice

SPIP 2.1.8 corrige une importante faille de sécurité

L'installation manuelle voulais-je dire dans ma première ligne.
Merci

Du coup, j'hésite avant de recommencer sur d'autres Spip. :/

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour à tous,

J'ai scrupuleusement suivi la procédure en optant pour l'installation.
Après remplacement par FTP de tous les fichiers, le site est en erreur 500 à la racine et le répertoire /ecrire affiche une page blanche (y compris dans le code source).

Une piste quelqu'un ?

Merci bcp !

SPIP 2.1.8 corrige une importante faille de sécurité

Il n'en reste pas moins que $REQUEST_URI ne semble pas déclaré :)

SPIP 2.1.8 corrige une importante faille de sécurité

Ce n'est pas une erreur juste une indication qu'une variable n'a pas été déclarée, ce qui n'est pas formellement indispensable en PHP.

il faut changer dans le php.ini la valeur de error_reporting à E_ALL & E_DEPRECATED si on est en envirronement de prod ou E_ALL & E_NOTICE sinon si on ne veut pas les notices.

SPIP 2.1.8 corrige une importante faille de sécurité

Salut,

J'ai le même problème, j'ai appliqué la correction, cela règle le log, mais est ce encore sécurisé :).

SPIP 2.1.8 corrige une importante faille de sécurité

Yo,

Rien n'à signaler pour ma part sur un hébergement free.fr

Merci à Matsumaya !

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

J'ai donc fait une réinstallation, puis activé plugin par plugin. Voici ce que j'ai noté comme dysfonctionnements par rapport aux plugins (si ça peut vous servir... en retour, si vous trouvez une solution... pensez à moi : ?)

surtout pas spip PMB
pas spiPDF (qui déjà générait des erreurs)
problème plus embêtant pour moi sur forms and tables : il ne retrouve pas les anciens formulaires et affichent des erreurs de lecture sql (si je comprends bien)
Bandeau : m'affiche une double occurrence Insert-head
Accès restreint crée des erreurs (plein « d'insultes » informatiques que je ne comprends pas...)

Voilà. Je n'ai pas tout testé, mais cela a mis la pagaille dans mon site, c'est certain : il faudra du temps avant qu'il s'en remette. D'un autre côté, c'est un site si discret que très peu viennent le voir !!! Ce qui m'embête plus, ce sont les misse à jour des sites « sérieux » que je vais avoir à faire...
Dans l'attente de petits conseils...
KMk.

SPIP 2.1.8 corrige une importante faille de sécurité

KMK, regarde du côté de la casse, j'ai planté totalement le site pour des majuscules...

Alain

SPIP 2.1.8 corrige une importante faille de sécurité

Bonsoir,

Je reviens sur mon post du 23 janvier : « erreur table SQL « SPIP_EVA_HABILLAGE_IMAGES » inconnue ». Le problème est résolu définivement :-) Il s'agissait d'un problème de majuscules dans le squelette alors que les tables avaient été forcées en minuscules par la 2.18... Celà a supposé de reprendre tous les html du squelette pour transposer en minuscules... et tout refonctionne à la perfection !
Ceci dit, et dauf pour râler, tenez-vous en aux minuscules et oubkiez ces majusucles...
Alain

SPIP 2.1.8 corrige une importante faille de sécurité

Il faudrait désactiver les plugins un par un, en commençant par le plugin spip-pmb qui modifie le processus de connexion de spip et n'est peut être pas compatible avec spip 2.1.8 ?

pour désactiver spip-pmb, il faut renommer le dossier plugin/spip-pmb

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

Je viens d'effectuer les manipulations, mais le diagnostic est le même...

Bigre !
D'autres petites lueurs ?

KMk.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

Actuellement j'utilise la version 1.9.2i, est ce que c'est nécessaire d'appliquer cette mise à jour ?
Cordialement.

SPIP 2.1.8 corrige une importante faille de sécurité

La suppression du dossier sesssions dans tmp, puis la recréation, avec la mise en place de droits chmod 777 résout-elle le problème ?

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

j'aurais besoin de desactiver l'écran de sécurité pour certaines parties de mon domaine.

Je m'explique j'ai un spip à la racine et des wordpress dans des autres répertoires. Ceux-ci sont affectés par le filtrage de l'écran de sécurité.

Est ce que quelqu'un a une syntaxe correcte pour desactiver l'autoprepend pour un répertoire donné (via un .htaccess par ex) ou dans un via le httpd.conf ?

Merci,

(PS : Au passage on avait le même problème avec phpmyadmin mais ça a été fixé par le 0.9.9.)

SPIP 2.1.8 corrige une importante faille de sécurité

... et, autre précision, mon navigateur accepte les « petits gâteaux aux pépites de chocolat », dits autrement « cookies ».

SPIP 2.1.8 corrige une importante faille de sécurité

Euh... petite précision, j'ai fait un téléchargement par ftp de spip 2.1.8 sur spip 2.1.0, sans passer par le spip loader... pour écraser les anciens fichiers (sauvegardés au préalable).

Cordialement,
KMk.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

J'ai bien fait la mise à jour, comme dit hier. Aujourd'hui, impossible de me connecter. Un ensemble de message d'erreur s'affiche :

Notice: Undefined offset: 0 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 1 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 2 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 3 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 4 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 5 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 6 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 7 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 8 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 9 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 10 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 11 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 12 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 13 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 14 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 0 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 1 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 2 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 3 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 4 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 5 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 6 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 7 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 8 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 9 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 10 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 11 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 12 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 13 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined offset: 14 in [...]www/ecrire/auth/sha256.inc.php on line 207
Notice: Undefined index: message_ok in [...]www/plugins/spip-pmb/formulaires/login.php on line 230
Notice: Undefined index: vars in [...]www/ecrire/public/composer.php(49) : eval()'d code on line 83 Notice: Undefined index: filtre_compacte_head in [...]www/ecrire/inc/filtres.php on line 43 Notice: Undefined index: filtre_compacte_head_dist in [...]www/ecrire/inc/filtres.php on line 43
Notice: Undefined index: compacte_head in [...]www/ecrire/inc/filtres.php on line 43

Lorsque je clique sur la ligne :
Vous êtes enregistré... par ici...

J'obtiens ce message d'erreur :

problème de cookie Pour vous identifier de façon sûre sur ce site, vous devez accepter les cookies.
Veuillez régler votre navigateur pour qu'il les accepte (au moins pour ce site).

Bon, là, je suis réellement embêtée... Quel problème y a-t-il sur cette ligne 207 ?
Merci d'avance pour votre éclairage !
KMk.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

Pour essayer de suivre la mise à jour, j'ai passé mon site qui était en 2.1.0 à la version 2.1.8.
Pour le moment, je constate une erreur dans l'espace privé, à cette page /ecrire/?exec=admin_vider : double occurrence de INSERT_HEAD.

Je vous en dirai plus après avoir testé les différentes fonctionnalités installées (plugins, etc...)

Bonne continuation !
KMk

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour, j'ai installé l'écran de sécurité et j'ai ce message là dans les logs d'apache :

PHP Notice: Undefined variable: REQUEST_URI in /usr/share/php5/ecran_securite.php on line 64

N'y aurait-il pas une erreur de syntaxe dans le code de l'écran sécurité ?

Voici la ligne en question :

if (preg_match(',^(.*/)?spip_acces_doc\.,', (string)$REQUEST_URI))

Ne s'agirait-il pas plutôt de $_SERVER[« REQUEST_URI »] ?

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,
J'ai l'impression que la mise à jour de Spip a provoqué de nombreux problèmes. Je ne sais pas si c'est comme cela à chaque fois ou particulier à cette mise à jour.
Pour ma part, j'ai installé uniquement l'écran de sécurité : j'ai eu des messages d'erreurs dans tous les sens sur l'espace privé et puis j'ai eprdu l'habillage.
J'ai donc installé la totalité de la mise à jour et depuis je n'ai plus accès aux articles avec un message Fichier petitionner introuvable
C'est la cata !
Je n'ai trouvé personne pour m'aider sur le forum Spip.
Merci pour vos conseils.

SPIP 2.1.8 corrige une importante faille de sécurité

Gros problème après la mise à en 2.18 par ftp:
l'accès à l'espace privé fonctionne correctement, mais pour l'espace public, après recalcul, j'ai 6 messages d'erreur table SQL « SPIP_EVA_HABILLAGE_IMAGES » inconnue en provenance de plugins/zip_eva-web40/eva-web40/noisettes/headers/headers_avec_habillage.html pour la première erreur... et il y en 5 autres à la suite !
Une idée ?

SPIP 2.1.8 corrige une importante faille de sécurité

Après la mise à jour à 2.1.8 j'obtiens ce message lorsque je tente d'accéder à la page d'accueil de l'espace privé :

Fatal error: Call to undefined function textebrut() in ... /ecrire/inc/commencer_page.php on line 40

Des idées ?

Merci !

SPIP 2.1.8 corrige une importante faille de sécurité

Il me semble que pour la version plus ancienne 2.0.13, l'url devrait

http://files.spip.org/spip/archives

et non

http://files.spip.org/archives qui génère une 404.

Merci à la communauté.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour à tous,

Je viens de faire la mise à jour par spip_loader, et après un temps assez bref, il m'a indiqué que « spip ne peut être installer car un site spip existe déjà » (ou qqch du même ordre). Quand je regarde la version du spip, je suis bien en 2.1.8. A-t-il seulement changé le numéro de version ou a-t-il bien fait les changements ?

merci d'avance pour votre réponse.

Keev

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour tt le monde !
Quequ'un peut-il m'orienter pour libérer à l'accès privé de nos rédacteurs qui est devenu impossible après l'installation de la nouvelle version de spip2.1.8.En effet, plusieurs utilisateurs qui utilisaient l'espace privé du site n'arrivent pas à accéder avec cette nouvelle version.
Merci de nous répondre !

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

Toujours sous Spip 1.92, je constate une saturation du fichier « Cache » depuis 1 mois. Et cela sur deux de mes bases. Je ne vois pas d'où cela peut-il venir. Est-ce un effet de la faille décrite ?
Quelqu'un rencontre-t-il le même problème ?
Merci.
A++

SPIP 2.1.8 corrige une importante faille de sécurité

il y a pas de quoi … t'est pas le seul à qui c'est arrivé …

SPIP 2.1.8 corrige une importante faille de sécurité

ça fait réagir, c'est pas mal.
Oui une url du type « spip.x.x.x.zip » serait plus parlante pour les mise à jour ^_^

Un peu trop habitué au service support, désolé de l'amalgame.

SPIP 2.1.8 corrige une importante faille de sécurité

Pour ajouter une couche sur ce que dit Cédric, je rappel que les forums de SPIP-Contrib sont là pour poser des questions sur le sujet de l'article (donc pas la peine de parler de la mutualisation facile ici) et pour s'entraider.

Il ne s'agit pas d'un service de requête type commerciale, ni d'un endroit de dépôt de plainte ou d'accusation de untel ou untel.

S'il y a un un problème, comme c'était le cas ici, inutile d'accuser de non professionalisme. D'une part parcque SPIP n'a jamais prétendu l'être : il prétend être de qualité. D'autre part, parcqu'il s'agit d'attaque relativement basse, surtout quand on déclare soit même ne pas être un professionel.

Donc à l'avenir merci d'éviter ce genre de commentaire....

SPIP 2.1.8 corrige une importante faille de sécurité

Alors pour clore le sujet : le zip est bien bon depuis la sortie de la 2.1.8 (on ne l'a pas mis a jour entre temps l'air de rien), mais les réglages du serveur font qu'une url vers un document zip n'est rechargée par les navigateurs qu'au bout d'un mois.

Autrement dit, si tu as déjà chargé la version stable il y a moins d'un mois (donc avec un numéro antérieur), le navigateur te ressort la même de son cache sur ton ordinateur, et non le zip à jour disponible sur le serveur. On va donc corriger cela pour fournir une url qui bouge quand le zip change.

Je suis juste agacé sur les critiques gratuites sur le professionnalisme et la crédibilité.

SPIP 2.1.8 corrige une importante faille de sécurité

Peu de temps après le post de mon message, le svn.revision indiqué bien 2.1.8 et non là 2.1.6 ;)

J'avais testé via proxy classique, proxy by pass et même via externe (ovh, orange) avant de psoter mon message, ça pointé vers le 2.1.6 ;)

Niveau crédibilité à la baisse, on pourrait parler du plugin mutualisation facile, mais ce n'est pas le sujet ici.

SPIP 2.1.8 corrige une importante faille de sécurité

Le zip que j'utilisais avait été téléchargé à l'adresse du point 3 de « Comment mettre à jour » dans cet article. Ca marche du premier coup avec le zip situé à l'adresse donnée par Keitaro.

De quoi dérouter un novice en effet. Grand merci Keitaro

SPIP 2.1.8 corrige une importante faille de sécurité

Cédric : .... professionnalisme ? mais c'est la première fois que j'aborde le job de webmestre ! ... Je prends ça comme un encouragement ;)

Ce dont je suis sûr :

- j'utilise bien le bon zip
- j'ai retenté plusieurs fois en vidant le cache de mon navigateur (IE et Firefox)
- pour filezilla 3.3.5.1 : je ne vois pas de commande pour vider le cache, même dans édition/paramètres/connexion (contrairement à ce que j'ai lu par çi par là)

J'ai retenté l'update cette fois avec spip_loader qui me renvoie : 500 Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request.

J'avoue que je suis perdu.

SPIP 2.1.8 corrige une importante faille de sécurité

Le paquet spip/stable/spip.zip a bien été branché sur la version 2.1.8 par le comit http://core.spip.org/projects/spip/repository/revisions/16967 et en le téléchargeant je trouve bien les informations relatives à la version 2.1.8. Il faut croire que ton navigateur a gardé en cache une version 2.1.6, ou que tu utilises un proxy qui n'a pas mis a jour son cache, ou que tu as mélangé les zip.

Dommage, avec ce professionnalisme, tu perds un peu en crédibilité.

SPIP 2.1.8 corrige une importante faille de sécurité

Ce qui serait bien c'est de mettre le bon zip dans le dossier....
http://files.spip.org/spip/stable/ ca ramène vers le zip 2.1.6 dixit le svn.revision.
obligé d'aller dans les archives et de prendre la 2.1.8 très logique tout ça...

ca la fou un peu mal de voir UP le 14-01-2011 et que le dernier commit sur le svn.revision indique le 02-01-2011....

En espérant voir cela corriger rapidement, la bonne archive 2.1.8 se trouve là :
http://files.spip.org/spip/archives/SPIP-v2-1.8.zip

Dommage, avec ce manque de professionnalisme, spip pers un peu en crédibilité.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour

Je viens de suivre la procédure FTP pour passer mon site de SPIP 2.1.2 à SPIP 2.1.8.
Résultat : plus d'accès à l'interface privé (login : Access forbidden) et de plus sur l'espace public je vois que je suis toujours en 2.1.2 ...

Une âme charitable pour me guider ?

SPIP 2.1.8 corrige une importante faille de sécurité

oui je sais pas ce qu'il m'a pris de dire cela ... désolé de lancer des fausses rumeurs ...

je crois qu'en fait ce qui m'a piégé c'est que j'ai pu faire une mise à jour sans avoir à me connecter à cause d'un cookie présent

SPIP 2.1.8 corrige une importante faille de sécurité

Une fois pour toute : le fichier spip_loader.php est protégé contre une exécution par un non webmestre une fois que SPIP est installé. Cela empêche donc toute utilisation malveillante.

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai remis le fichier spip_loader.txt en spip_loader.php, et de nouveau plus d'obstacle à ma maj.
Donc c'est une bonne précaution de changer l'extension, en attendant d'avoir à faire une maj.

SPIP 2.1.8 corrige une importante faille de sécurité

En ce qui me concerne, j'ai fait sur mon site ce que je suggérais dans mon précédent message : j'ai renommé spip_loader.php en spip_loader.txt, et depuis quand j'essaie la maj par spip_loader, je reçois ce message : Not Found - The requested URL /spip_loader.php was not found on this server. - Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Ce soir je remettrai la bonne extension, et je reéessaierai pour voir si la modif est réversible (mais a priori, y a pas de raison).

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai changé le nom de spip_loader avant en modifiant les 2 lignes 44 & 775 et ça fonctionne parfaitement.

Sur un autre site, j'ai testé sans être identifié. On peut lancer spip_loader mais alors il est demandé « veuillez créer un dossier ou un fichier adminxxxxxxxxx dans /tmp ». J'en déduis donc qu'on ne peut pas mettre à jour si on n'est pas identifié comme maître de toile.

SPIP 2.1.8 corrige une importante faille de sécurité

Etonnant que spip_loader ne produise pas les mêmes effets sur tous les sites ! En lisant les commentaires, je me suis dit que si j'avais pu mettre à jour mon site, sans aucun obstacle, il n'en allait peut-être pas de même sur un autre site. J'ai donc essayé sur un autre site, et comme pour le mien, j'ai immédiatement la fenêtre d'installation : « Téléchargement de SPIP. Bienvenue dans la procédure d'installation automatique », etc. Il est vrai que c'est un site où j'ai aussi accès à l'espace privé : Ça m'embête d'essayer sur un site que je ne connais pas, même sans dépasser la fenêtre de maj (évidemment !).
Pour répondre à Roland, mon idée n'était pas de changer le nom de spip_loader AVANT, mais APRES la mise à jour effectuée. Et de ne remettre le nom spip_loader que lorsque une nouvelle maj serait à faire. D'ailleurs, le mieux ne serait-il pas de renommer le fichier « spip_loader.txt », pour n'avoir que l'extension à changer ?

SPIP 2.1.8 corrige une importante faille de sécurité

Un grand merci à toute l'équipe pour sa vigilance ! Que ferions-nous sans Spip ?! Hein ?! La mise à jour depuis 2.1.6 a fonctionné sans problème. Tout est nickel !

SPIP 2.1.8 corrige une importante faille de sécurité

Merci RGV, et effectivement la version de SPIP à changé dans l'admin, après j'espère tout de même que la mise à jour à été effectuée !!! Merci pour ta réponse je n'avais pas vu !!
Bonne soirée !

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai aussi remarqué que les fichiers .htaccess ont tous été modifiés.

SPIP 2.1.8 corrige une importante faille de sécurité

et les versions 1.9.2 ? concernées elles aussi ?

SPIP 2.1.8 corrige une importante faille de sécurité

Merci Maïeul !

Cela a marché mais très bizaremment, sur plusieurs sites, plusieurs messages différents !
- SPIP est déjà installé donc pas de MAJ possible, et cf autre post, cela avait marché
- me demande de me connecter à l'admin
- se déroule normalement, me dit que c'est bon !

SPIP 2.1.8 corrige une importante faille de sécurité

et bien tant mieux s'il demande ... en fait j'en sais rien, mais 2 protections valent mieux qu'une

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai eu la même chose, mais après, dans l'admin, je vois que c'est bien la nouvelle version qui est là : je suppose donc que cela a marché.
Est-ce une fausse joie et que juste le n° de la version a changé ? Sur Sarka-SPIP, elle est indiquée en clair.

SPIP 2.1.8 corrige une importante faille de sécurité

Je ne comprends pas bien : Pour moi, quand j'ai voulu faire la mise à jour sur mon premier site avec le spip_loader.php , il m'a demandé de me connecter au site.
Donc comment quelqu'un pourrait-il faire la mise à jour à ma place sans les identifiants Webmestre ?

SPIP 2.1.8 corrige une importante faille de sécurité

pour moi la maj c'est bien passée, mais par contre les stats sont devenus fausses
plus de mise a 0 sur le jour suivant...

une idée ?

SPIP 2.1.8 corrige une importante faille de sécurité

Attention, lorsqu'un site a été hacké une première fois, il faut impérativement tout vider et changer ses login/mot de passe, y compris la connexion aux bases de données. L'attaquant a en effet pu avoir accès à tes login/mot de passe mysql a la première attaque et s'en servir ensuite, même si la faille de SPIP est fermée. De même il faut être sûr qu'il n'a pas laissé un script lui donnant accès ensuite à ton serveur. D'où le conseil de tout vider avant une réinstallation propre.

Je ne sais pas quelle est la notoriété de tes sites, mais si le hacker revient après que tu aies nettoyé une première fois, cela ressemble à une action délibérée à l'encontre du site plus qu'à une attaque automatique à partir de la faille. Autrement dit, la réponse « A qui profite le crime » peut donner une idée de qui attaque.

Bon courage, quoi qu'il en soit.

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai été victime de cette faille et voilà, j'ai tout perdu. Tous les sites (une dizaine) que j'héberge sur mon serveur ont été détruits. Maintenant, on me redirige sur Google.

Samedi, j'avais réussi à remettre les sites à partir d'une copie de sécurité. J'ai installé l'écran de sécurité sur les sites et fait la mise à jour sur 2 autres. La nuit dernière, tout a été détruit de nouveau. Deux choses : soit le hacker a un accès à mes bases MySQL quelque soit la version de spip que j'installe, soit les patch sont inefficaces. Je vais donc devoir tout remettre en place à partir de ma copie de sécurité. J'ai bien peur que cela marque la fin de spip dans mon organisation. J'était le seul à supporter le libre ici.

J'aimerais biens savoir quel est le bénéfices que ces gens qui sabotent les sites reçoivent. Ça me semble totalement gratuit et tout simplement malveillant.

Claude

SPIP 2.1.8 corrige une importante faille de sécurité

Attention, renommer spip_loader ne suffit pas => sinon on obtient un message d'erreur 404 « The requested URL /spip_loader.php was not found on this server. »

Je crois qu'il faut également adapter les lignes 44 et 775 en remplaçant spip_loader.php par le nom_retenu.php. Je n'ai pas encore testé mais je vais le faire tout de suite.

SPIP 2.1.8 corrige une importante faille de sécurité

J'ai fini par trouver le plugin qui posait problème : Bandeau 2.1/1.1.7 - stable.
Je l'ai mis à jour avec la dernière version et le PB à disparu.

Merci te tes conseils et de ton aide.

Cordialement

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour à tous, je cherche à mettre à jour mon site Spip (commencé il n'y a même pas 1 semaine, et il me signale qu'il est impossible d'installer le spip_loader, car un SPIP est déja installé... Comme puis-je faire ?
Merci d'avance à vous !!!

SPIP 2.1.8 corrige une importante faille de sécurité

Peux-tu désactiver tes plugins, vider le cache en supprimant par FTP le contenu de /tmp/cache/skel/ et vérifier que l'erreur ne se produit plus ? Dans ce cas il faut reactiver les plugins un à un en vidant le cache à chaque fois pour trouver le coupable.

Pour desactiver les plugins sans avoir accès à l'espace privé, il suffit de renommer le dossier plugins/ par FTP. SPIP ne trouvant plus les plugins, il va alors les désactiver.

Si l'erreur se produit encore sans plugin actif, alors il faudra me fournir un accès FTP que je trouve le bug côté SPIP qui doit se produire dans certaines configurations particulières comme la tienne, et qu'on aurait pas vu lors des tests.

SPIP 2.1.8 corrige une importante faille de sécurité

Après réinstallation de la 2.1.8 tout semble fonctionner correctement coté public comme coté privé. Puis l'idée me vient de vider le cache .....
Retour de l'erreur fatal !!

Je ne sais plus quoi faire !

Merci d'un petit coup de main.

SPIP 2.1.8 corrige une importante faille de sécurité

Je viens de repasser en SPIP 2.1.6.
Le défaut à disparu !!!!
Je continue les investigations.

SPIP 2.1.8 corrige une importante faille de sécurité

En bas de la page 404 j'ai l'erreur suivante :

Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to allocate 4400 bytes) in /mnt/145/sdb/c/f/n.ruchaud/_test_latoniccia/ecrire/public/assembler.php on line 631

SPIP 2.1.8 corrige une importante faille de sécurité

Merci Maïeul.
Je n'avais pas bien compris ton message avant de faire la maj de la 2.1.6 vers la 2.1.8.
Je l'ai réalisée très simplement avec spip_loader, comme je l'avais fait quelques jours plus tôt pour passer de la 2.1.0 à la 2.1.6. Et avec encore moins de soucis, alors que je m'attendais à des difficultés avec Couteau Suisse... Chez moi, il n'y a eu vraiment aucun problème, simplement une fois la 2.1.8 installée, j'ai vu qu'il y avait une maj disponible pour Couteau Suissse, et je suis passé de 1.8.30 à 8.1.31. Et tout baigne !
C'est ensuite que je me suis dit : connaissant un site quelconque, je pourrais l'actualiser sans rien demander à personne, pour autant qu'il ait spip_loader, ce qui, si le site est un peu ancien, pourrait quand même causer quelques soucis à son proprio !
Donc c'est une bonne idée de renommer spip_loader, pour éviter ce genre de mésaventure.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,
je viens de mettre à jour mon site Test_Latoniccia Club Plongée avec la version 2.1.8 par FTP.
La partie public du site fonctionne sans problème. Pour la partie privée j'ai systématiquement une erreur 404. J'ai supprimé le répertoire TMP,, recharger SPIP rien y fait !!!

Que faire pour retrouver un fonctionnement normal ?

Merci d'avance

SPIP 2.1.8 corrige une importante faille de sécurité

pas de souci parceque le spip_loader fait « comme si » tu balançais à la main

SPIP 2.1.8 corrige une importante faille de sécurité

oui c'esr nouveau sur la 2.1.6 et suivant. C'est un message de sécurité. Ceci dit, pour une install local tu peux passer outre.

SPIP 2.1.8 corrige une importante faille de sécurité

Bonjour,

j'ai fait la mise à jour sans pb sur 2 sites avec SPIP loader, j'avais installé SPIP déjà comme cela.

Mais sur d'autres sites, j'avais du installer SPIP par FTP : dans ce cas, puis-je charger SPIP Loader par FTP puis faire la mise à jour comme cela, et sans dégàts ?

Merci d'avance

SPIP 2.1.8 corrige une importante faille de sécurité

message après instal (pas une mise à jour)

Avertissement : la configuration de votre serveur HTTP ne tient pas compte des fichiers .htaccess. Pour pouvoir assurer une bonne sécurité, il faut que vous modifiez cette configuration sur ce point, ou bien que les constantes _DIR_TMP & _DIR_CONNECT (définissables dans le fichier mes_options.php) aient comme valeur des répertoires en dehors de C :/Program Files/EasyPHP5.2.10/www.

c nouveau ?

mais derniere installation en local est SPIP 2.1.1 [15871]

SPIP 2.1.8 corrige une importante faille de sécurité

le spip_loader va cherche la derniere version stable de SPIP. par contre, le risque c'est que des gens fasse une mise à jour à ta place. Donc change le nom :)

SPIP 2.1.8 corrige une importante faille de sécurité

Je viens de faire la mise à jour.... et elle me pousse à poser deux petites questions :

Marque-t-elle en par ailleurs le retour de l'authentification par FTP avant de faire des opérations sur la base de données ? Il y a bien longtemps que je n'avais pas vu le familier message (veuillez créer un dossier ou un fichier adminxxxxxxxxx dans /tmp)... C'était pas mal de s'en passer... mais je suppose que c'est pour des raisons de sécurité également ?
A chaque mise à jour, je me pose la même question : peut-on garder le spip_loader.php présent à la racine des sites d'une fois sur l'autre, ou celui-ci est-il susceptible de changer d'une fois sur l'autre ?