Alerte Sécurité SPIP [2]


Un important trou de sécurité vient d’être détecté dans SPIP ; il affecte toutes les versions disponibles, sur tous les systèmes et dans toutes les configurations.
Un complément a été ajouté au patch le 04/02/2006
-> la dernière version sûre est la 1.8.2g
Procédure de mise à jour

Un complément a été ajouté au patch le 04/02/2006

-> la dernière version sûre est la 1.8.2g

Il convient de mettre à jour votre site le plus tôt possible.

La nouvelle version stable est la 1.8.2g, que vous pouvez récupérer :

-   En téléchargeant le paquet zip à l’adresse habituelle.

http://www.spip.net/fr_download

-  Ou, si vous avez utilisé la méthode d’installation « spip-loader »., en vous rendant à l’adresse

http://MON-SITE/spip_loader.php3

Les seuls fichiers modifiés entre la 1.8.2e (précédente version stable) et la 1.8.2g (version stable courante) sont les suivants :

  • formulaires/inc-login_public.php3
  • formulaires/inc-formulaire_forum.php3
  • formulaires/inc-formulaire_inscription.php3
  • formulaires/inc-formulaire_signature.php3
  • formulaires/inc-formulaire_site.php3
  • inc-messforum.php3
  • inc-balises.php3
  • ecrire/inc_version.php3 (qui permet d’afficher le numéro de version 1.8.2g)

En savoir plus sur les modalités de mise à jour

Si vous souhaitez ne mettre à jour que les fichiers modifiés depuis la version 1.8.2e :

Patch de mise à jour 1.8.2e-> 1.8.2g
version standard en .php3
valalble aussi depuis la 1.8.2f
pour les versions antérieures : mise à jour complète nécessaire

patch 1.8.2e -> 1.8.2g (.php3)

Pour un un spip 1.8.2e en version .php au lieu de .php3

patch 1.8.2e -> 1.8.2g (.php)

La version de développement « SVN » a elle aussi été corrigée de ce bug, mais elle n’est évidemment pas recommandée « en production »

bien qu’elle fasse déjà tourner quelques sites connus de la communauté :-)

En cas de doute ou si vous rencontrez le moindre pépin, rendez-vous sur la liste des utilisateurs, spip@rezo.net

Discussion

18 discussions

  • 1

    Bonjour,

    Je suis nouveau parmis vous, je decouvre SPIP 191, et j’ai vu ce message, alors voila, qu’en est il pour SPIP 191 ?

    • Pas de probleme. Comme son numéro l’indique, spip 1.9.1 est posterieur à Spip 1.8.2g , donc pas de soucis à te faire ;-)

    Répondre à ce message

  • 2

    C’est la première fois que je souhaite installer SPIP. J’ai téléchargé la version SPIP-v1-8-2-g.zip puis, comme j’avais le message ci-dessous, j’ai supprimé tous les fichiers installés sur mon FTP et j’ai essayé l’installation automatique avec le fichier spip_loader.php3 mais le même message s’affiche quand je lance l’installation en cliquant sur « commencer... » :

    Fatal error : Call to unsupported or undefined function foreach() in inc_version.php3 on line 72

    Je remercie par avance les personnes qui voudront bien m’aider à résoudre ce problème afin que je puisse découvrir ce gestionnaire de contenus Web.

    PériGraphiste

    PS : je travaille sur Mac.

    • Un petit de google sur : spip 1and1 et tu auras la solution.

    • Bonjour à tous, je galère comme un fou à installer spip. Je ne comprend pas, quand je vais sur http://monsite/, j’obtient la liste des fichiers contenu sur le serveur, ensuite lorsque je clique sur un fichie php ou php3 j’ai une erreur 404 ! J’ai essayé plusieurs manipes vu sur le net, mais rien n’y fait !

      QUE FAIRE ?

      si quelqu’un peut m’aider, svp !
      Merci.

    Répondre à ce message

  • 1

    comme je ne les ai pas trouvé ailleurs, si cela peut aider, voici les version 1.8.2g en version complète PHP (spip182e + maj 182e->g) :

    -  SPIP 1.8.2g (php) (2.3 Mo)
    -  SPIP 1.8.2g monolingue francais(php) (1.0 Mo)

    Répondre à ce message

  • apres avoir « bouclé » en rond, puis avec le concours de Christophe et Jean Michel.

    Un site placé chez Online m’envoyait des erreurs 302 de façon systématique.
    Il faut modifier la fonction redirige_par_entete, définie dans le fichier
    inc_version.php

    // envoyer le navigateur sur une nouvelle adresse
    //function redirige_par_entete($url) {
    //	header("Location: $url");
    //	spip_log("redirige $url");
    //	http_status(302);
    //	spip_header("Location: $url");
    //	exit;
    //}

    par

    // fonction redefinie sleepr_fr
    function redirige_par_entete($url) {
        spip_header("Refresh: 0; url=" . $url);
        spip_log("redirige $url");
        echo "<html><head>";
        echo "<meta http-equiv='Refresh' content='0; url=".$url."'>";
        echo "</head>\n";
        exit;
    }

    Répondre à ce message

  • 2

    Je viens d’appliquer le correctif en me contentant de la mise à niveau depuis la 1.8.2e. Dans la partie privée de mon site, j’ai toujours marqué 1.8.2e. Est-ce grave, normal ou ai-je fait une boulette ?

    • C’est pas « grave » mais pour le coup cela signifie que le fichier inc-version n’est pas passé et si celui-là n’est pas passé la question suivante c’est : est-ce que les autres sont bien passés ? :-)

    • Je vais refaire le transfert, fichier par fichier, demain matin...

    Répondre à ce message

  • Bonjour à toutes et tous
    J’ai du louper une étape... mais en quoi consiste ce « trou » de sécurité dans SPIP ?
    C’est à dire quel est l’impact de cette faille sur un site SPIP ?
    (modification des données,prise de contrôle du site, auto-destruction !!!???)
    merci de vos réponses
    Equino

    Répondre à ce message

  • 2

    Bonjour,

    Mon site était en 1.8.2e, et j’ai effectué le transfert ftp des fichiers de mise à jour vers la 1.8.2g.
    J’ai pu acceder à mon espace privé, qui m’indique bien le numéro de version 1.8.2g, mais je n’ai pas eu le message :
    « Message technique : la procédure de mise à jour doit être lancée afin d’adapter la base de données à la nouvelle version de SPIP. Si vous êtes administrateur du site, veuillez cliquer sur ce lien. »

    Est-ce normal ?
    Est-ce que la mise à jour corrigeant la faille de sécurité a bien été effectuée ou dois-je recommencer ?

    Merci pour vos reponses,

    Rustine

    • de 182e vers 182g il n’y a pas de modification de la base, donc c’est tout a fait normal. Le fait que la version soit bien affichee en bas de l’espace privé prouve que la mise a jour a bien été faite.

    • c’est bien ce que pensais, mais je prefère avoir la confirmation,
      merci bcp !

    Répondre à ce message

  • Bonjour,
    Plusieurs choses m’étonnet vis à vis des mises à jour de Spip :
    -  la dernière mise à jour (vers la version 1.8.2 e) m’avais fait perdre mon site (ok, j’avais oublié de sauvegarder la base, mais j’ai laissé tomber depuis longtemps l’idée de sauver quoique ce soit avec Spip ou PhpMyAdmin
    -  la nouvelle mise à jour m’a fait perdre mon site à nouveau...

    J’ai un autre site migrer, je me pose la question de la nécessité : dois-je à nouveau tout perdre ?!
    Je pense que je vais attendre une mise à jour du système de mise à jour ?!

    Répondre à ce message

  • le site que j’administre est sous 1.8.2 d en php.
    existe-t-il une version 1.8.2 g en php ?
    Et quelles sont les différences entre 1.8.2 d et 1.8.2 g en dehors de la correction de la faille de sécurité signalée.

    Répondre à ce message

  • 1

    Bonjour à tous,
    Je viens d’effectuer la mise à jour de sécurité en remplacant les anciens fichiers par le pack que vous fournissez plus haut. Mais je n’arive plus à acceder à mon espace privé, ou du moins à y rentrer pour de bon : il m’indique en permanence ce message :

    Message technique :
    la procédure de mise à jour doit être lancée afin d’adapter la base de données à la nouvelle version de SPIP.
    Si vous êtes administrateur du site, veuillez ’cliquer sur ce lien’

    En ’cliquant sur ce lien’, je tombe sur une page ou on m’indique que je dois créer un répertoire avec un nom des plus étranges.. Je le fais mais il ne se passe absolument rien. Le repertoire doit etre creer dans ’ecrire/data’ mais apperement il n’en tient pas compte. Alors que faire ? Merci de vos idées !

    • Le fait de te faire créer un répertoire avec un nom choisi au hasard par spip permet de vérifier que la personne qui essaye de mettre àjour est effectivement la personne gérantle site, et qui a donc accès par ftp au site pour créer un répertoire. Une fois que tu as crée le répertoire qu’il ta demandé, passe ses droits en 777, et normalement ce sera bon !

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom