Nous remercions Arnault Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.
Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un
email à spip-team@rezo.net
N’hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l’aide sur cette migration :
- liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- forum : http://forum.spip.org/
- irc : http://spip.net/irc
Comment mettre à jour ?
Comme d’habitude, plusieurs possibilités pour la mise à jour :
- L’écran de sécurité : si vous n’avez pas le temps de faire tout de
suite une mise à jour complète, vous pouvez sécuriser en deux minutes
votre site en téléchargeant la version 0.9.7 de l’écran de sécurité,
et en la déposant dans votre répertoireconfig/
.Documentation : cf. http://www.spip.net/fr_article4200.html
Téléchargement : http://zone.spip.org/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt - spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
installer SPIP 2.1.8, et cela lancera la mise à jour de votre site vers spip 2.1.8 - par FTP : SPIP 2.1.8 est disponible à l’adresse
- par SVN : si vous êtes dans la branche 2.1
svn://trac.rezo.net/spip/branches/spip-2.1
faites simplement svn up.
La version 2.1.8 est aussi disponible sous la branchesvn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag svn://trac.rezo.net/spip/tags/spip-2.1.8/
Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. Elle est disponible par FTP sur files.spip.org/archives
Toutes versions : L’écran de sécurité est valable pour toutes les versions de spip.
P.S : et bien sûr pour finir sur une petite note humoristique ... si jamais vous
vous posez la question de savoir où est passée la 2.1.7 la réponse est :
« Un chat s’est baladé sur le clavier et a appuyé sur le bouton de génération des paquets SPIP par mégarde »
Discussions par date d’activité
36 discussions
J’ai le même problème que Luc avec prive...
Enas
Répondre à ce message
Bonjour.
Je viens d’installer la dernière version de spip.
J’ai un seul souci. J’ai ce message :
Fatal error : Call to undefined function compacte_css() in /homez.194/omathima/www/ecrire/public/composer.php(49) : eval()’d code on line 87
quand je veux me connecter. Quel est le problème ?
Merci d’avance.
Le site.
Enas
Répondre à ce message
J’ai fait la mise à jour.
Maintenant si par exemple je tape dans un navigateur : www.monsite.net/prive
que vois-je alors ? tous les fichiers et sous dossiers du dossier privé...
Est-ce normal ?
ou d’ailleurs pour tout autre sous dossier ou fichier...
vérifie qu’il y a bien le fichier .htaccess dans ces dossiers (avec FTP) et que le .htaccess est bien activé chez ton hébergeyr
Merci pour ta réponse rapide Maïeul
le .htaccess est à la racine du site
comment s’avoir s’il est bien activé chez l’hébergeur ?
il devrait y en avoir dans chacun de ces dossiers...
Euh... non ! (j’ai bien coché l’affichage des dossiers cachés dans mon FTP)
.htaccess est en revanche dans le sous dossier tmp et effectivement on ne peut y avoir access
(www.monsite.net/tmp)...
faut-il donc copier le fichier dans les dossiers qui ne l’ont pas ?
en fait le seul dossier auquel il faut interdire l’accés c’est tmp et config.
Je t’ai répondu trop vite. Il faut que le navigateur puisse accéder aux autres dossiers.
Si tu veux pas qu’ils soient listés, met un fichier index.html
tmp et config ont un fichier .htaccess
ne connaissant pas très bien spip, peux-tu préciser au sujet de ce fichier index.html ?
dois-je le configurer ?
bah ce n’est pas propre à SPIP.
en gros le fichier .htaccess interdit d’accéder à ces repertoires, et c’est important pour des raisons de sécurité.
Le repertoire /prive lui doit être accesible par http.
Mais si tu ne veux pas qu’en se rendant sur /prive on voit l’ensemble du contenu (mais à vrai dire ce n’est pas très grave qu’on le voit) tu peux mettre un fichier index.html vide.
OK merci !
Répondre à ce message
Souci avec l’écran de sécurité
L’écran de sécurité bloque l’ajout de messages dans l’espace privé (du moins sous un article, pas essayé le reste).
En ajoutant un message, la roue ajax continue à tourner mais le message n’est jamais accepté. Si on désactive le javascript du navigateur, on tombe sur une page
http://monsite.tld/ecrire/?exec=poster_forum_prive
(Error 403 : Forbidden) disantcomme quand on utilise l’écran de sécurité.
D’ailleurs, renommer ce dernier arrange l’affaire.
J’ai oublié de signaler que j’utilise SPIP 2.1.8 et l’écran 1.0.0.
Répondre à ce message
Bonjour à tous,
Je viens de faire la mise à jour par spip_loader, et après un temps assez bref, il m’a indiqué que « spip ne peut être installer car un site spip existe déjà » (ou qqch du même ordre). Quand je regarde la version du spip, je suis bien en 2.1.8. A-t-il seulement changé le numéro de version ou a-t-il bien fait les changements ?
merci d’avance pour votre réponse.
Keev
Bonjour,
J’ai eu le même message.
Comment savoir si la version 2.1.8 est bien installée ?
Merci
C’est bon, j’ai eu le même message et vu les changement, vous n’avait pas de soucis a vous faire.
Je suis parti de ce principe, ça a l’air d’être ok...
Répondre à ce message
Bonjour, j’ai installé l’écran de sécurité et j’ai ce message là dans les logs d’apache :
N’y aurait-il pas une erreur de syntaxe dans le code de l’écran sécurité ?
Voici la ligne en question :
Ne s’agirait-il pas plutôt de $_SERVER[« REQUEST_URI »] ?
Salut,
J’ai le même problème, j’ai appliqué la correction, cela règle le log, mais est ce encore sécurisé :).
Ce n’est pas une erreur juste une indication qu’une variable n’a pas été déclarée, ce qui n’est pas formellement indispensable en PHP.
il faut changer dans le php.ini la valeur de error_reporting à E_ALL & E_DEPRECATED si on est en envirronement de prod ou E_ALL & E_NOTICE sinon si on ne veut pas les notices.
Il n’en reste pas moins que $REQUEST_URI ne semble pas déclaré :)
Corrigé en http://zone.spip.org/trac/spip-zone/changeset/44288
& on en profite pour donner la version 1.0.0 première release « stable » de l’écran
(après 0.9.9 je n’avais guère le choix :-) )
Merci , trop fort !!!
@Fil, 0.9.10, ça marche. ;-)
Répondre à ce message
Bonjour à tous
je vens de migrer de 2.1.6 vers 2.1.8.le site fonctionne bien sauf les mots de passe inserrer dans les articles ne sont plus pris en compte . et j’ai des erreur dans le squelettes au niveau des boulces.
Quelqu’un peut me venir en aide !!!!!!!!!!!!!!!!!!!!
Répondre à ce message
Bonjour, avec cette version de spip (installée d’emblée- sans mise à jour donc) j’ai un problème avec les plugins, qui ne sont pas reconnus si je les dézip et les passe par FTP, encore moins via un lien, et voilà l’erreur affichée :
Warning : array_merge() [function.array-merge] : Argument #1 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
Warning : array_merge() [function.array-merge] : Argument #2 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
Merci par avance pour votre aide
Répondre à ce message
Bonjour,
Impression PDF d’un article contenant un formulaire :
Lorsque j’imprime en PDF avec le plugin « article_pdf_2_0 » et la version SPIP 2.1.8 un article contenant un formulaire j’obtiens, au lieu du formulaire, des lignes de code du formulaire dans le pdf qui, injectées dans ce message du forum, sont interprétée correctement dans le messages :
Je ne sais si ’erreur provient du plugin « article_pdf_2_0 » ou de la nouvelle version SPIP 2.1.8 !
Avez-vous une idée de l’erreur ?
cordialement
FDG
Répondre à ce message
Bonjour,
Désireux de limiter les problèmes de compatibilité avec les plugins, j’ai choisi de faire la mise à jour SPIP-2.0.10 vers SPIP-2.0.13 (car comme il est écrit ci-dessus : « Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. »)
Or après l’upload FTP et en dépit d’avoir vidé le cache, je n’obtient aucune réaction lors de ma connexion dans l’espace privé. Le pied de page de l’espace privé indique toujours : SPIP 2.0.10 [14698].
Comment savoir si la mise à jour a fonctionné ?
Merci pour votre aide !
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |