SPIP 2.1.8 corrige une importante faille de sécurité

Une faille nous a été signalée hier matin (13 janvier 2011). Nous attirons votre attention sur le fait que, contrairement aux précédentes, cette faille est CRITIQUE. Tous les sites sous SPIP sont concernés, quels que soient leurs réglages. Les conséquences en cas d’attaque peuvent aller jusqu’à la destruction des fichiers du site et de sa base de données.

Cette faille concerne toutes les versions 2.0.x et 2.1.x de SPIP,
jusqu’à la version 2.1.6 parue le 6 janvier 2011.

Une nouvelle version stable vient d’être publiée : SPIP 2.1.8

Nous vous recommandons FORTEMENT de mettre à jour SPIP sur votre
serveur. Mais si vous n’avez pas le temps de le faire immédiatement,
prenez tout de même deux minutes pour mettre à jour (ou installer)
l’écran de sécurité, dont la version 0.9.7 bloquera une éventuelle
attaque via cette faille. (voir les liens ci-dessous.)

Nous remercions Arnault Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un
email à spip-team@rezo.net

N’hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

  1. L’écran de sécurité : si vous n’avez pas le temps de faire tout de
    suite une mise à jour complète, vous pouvez sécuriser en deux minutes
    votre site en téléchargeant la version 0.9.7 de l’écran de sécurité,
    et en la déposant dans votre répertoire config/ .

    Documentation : cf. http://www.spip.net/fr_article4200.html
    Téléchargement : http://zone.spip.org/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt

  2. spip_loader.php : si vous avez installé spip_loader,
    rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
    installer SPIP 2.1.8, et cela lancera la mise à jour de votre site vers spip 2.1.8
  3. par FTP  : SPIP 2.1.8 est disponible à l’adresse

    http://files.spip.org/spip/stable/

  4. par SVN  : si vous êtes dans la branche 2.1
    svn://trac.rezo.net/spip/branches/spip-2.1
    faites simplement svn up.

La version 2.1.8 est aussi disponible sous la branche
svn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag svn://trac.rezo.net/spip/tags/spip-2.1.8/

Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. Elle est disponible par FTP sur files.spip.org/archives

Toutes versions : L’écran de sécurité est valable pour toutes les versions de spip.

P.S : et bien sûr pour finir sur une petite note humoristique ... si jamais vous
vous posez la question de savoir où est passée la 2.1.7 la réponse est :
« Un chat s’est baladé sur le clavier et a appuyé sur le bouton de génération des paquets SPIP par mégarde »

Discussion

36 discussions

  • Bonjour,

    j’aurais besoin de desactiver l’écran de sécurité pour certaines parties de mon domaine.

    Je m’explique j’ai un spip à la racine et des wordpress dans des autres répertoires. Ceux-ci sont affectés par le filtrage de l’écran de sécurité.

    Est ce que quelqu’un a une syntaxe correcte pour desactiver l’autoprepend pour un répertoire donné (via un .htaccess par ex) ou dans un via le httpd.conf ?

    Merci,

    (PS : Au passage on avait le même problème avec phpmyadmin mais ça a été fixé par le 0.9.9.)

    Répondre à ce message

  • Bonjour,
    J’ai l’impression que la mise à jour de Spip a provoqué de nombreux problèmes. Je ne sais pas si c’est comme cela à chaque fois ou particulier à cette mise à jour.
    Pour ma part, j’ai installé uniquement l’écran de sécurité : j’ai eu des messages d’erreurs dans tous les sens sur l’espace privé et puis j’ai eprdu l’habillage.
    J’ai donc installé la totalité de la mise à jour et depuis je n’ai plus accès aux articles avec un message Fichier petitionner introuvable
    C’est la cata !
    Je n’ai trouvé personne pour m’aider sur le forum Spip.
    Merci pour vos conseils.

    Répondre à ce message

  • Gros problème après la mise à en 2.18 par ftp:
    l’accès à l’espace privé fonctionne correctement, mais pour l’espace public, après recalcul, j’ai 6 messages d’erreur table SQL « SPIP_EVA_HABILLAGE_IMAGES » inconnue en provenance de plugins/zip_eva-web40/eva-web40/noisettes/headers/headers_avec_habillage.html pour la première erreur... et il y en 5 autres à la suite !
    Une idée ?

    Répondre à ce message

  • Après la mise à jour à 2.1.8 j’obtiens ce message lorsque je tente d’accéder à la page d’accueil de l’espace privé :

    Fatal error: Call to undefined function textebrut() in ... /ecrire/inc/commencer_page.php on line 40

    Des idées ?

    Merci !

    Répondre à ce message

  • Il me semble que pour la version plus ancienne 2.0.13, l’url devrait

    http://files.spip.org/spip/archives

    et non

    http://files.spip.org/archives qui génère une 404.

    Merci à la communauté.

    Répondre à ce message

  • Bonjour tt le monde !
    Quequ’un peut-il m’orienter pour libérer à l’accès privé de nos rédacteurs qui est devenu impossible après l’installation de la nouvelle version de spip2.1.8.En effet, plusieurs utilisateurs qui utilisaient l’espace privé du site n’arrivent pas à accéder avec cette nouvelle version.
    Merci de nous répondre !

    Répondre à ce message

  • Bonjour,

    Toujours sous Spip 1.92, je constate une saturation du fichier « Cache » depuis 1 mois. Et cela sur deux de mes bases. Je ne vois pas d’où cela peut-il venir. Est-ce un effet de la faille décrite ?
    Quelqu’un rencontre-t-il le même problème ?
    Merci.
    A++

    Répondre à ce message

  • 8

    Ce qui serait bien c’est de mettre le bon zip dans le dossier....
    http://files.spip.org/spip/stable/ ca ramène vers le zip 2.1.6 dixit le svn.revision.
    obligé d’aller dans les archives et de prendre la 2.1.8 très logique tout ça...

    ca la fou un peu mal de voir UP le 14-01-2011 et que le dernier commit sur le svn.revision indique le 02-01-2011....

    En espérant voir cela corriger rapidement, la bonne archive 2.1.8 se trouve là :
    http://files.spip.org/spip/archives/SPIP-v2-1.8.zip

    Dommage, avec ce manque de professionnalisme, spip pers un peu en crédibilité.

    • Le paquet spip/stable/spip.zip a bien été branché sur la version 2.1.8 par le comit http://core.spip.org/projects/spip/repository/revisions/16967 et en le téléchargeant je trouve bien les informations relatives à la version 2.1.8. Il faut croire que ton navigateur a gardé en cache une version 2.1.6, ou que tu utilises un proxy qui n’a pas mis a jour son cache, ou que tu as mélangé les zip.

      Dommage, avec ce professionnalisme, tu perds un peu en crédibilité.

    • François

      Cédric : .... professionnalisme ? mais c’est la première fois que j’aborde le job de webmestre ! ... Je prends ça comme un encouragement ;)

      Ce dont je suis sûr :

      -  j’utilise bien le bon zip
      -  j’ai retenté plusieurs fois en vidant le cache de mon navigateur (IE et Firefox)
      -  pour filezilla 3.3.5.1 : je ne vois pas de commande pour vider le cache, même dans édition/paramètres/connexion (contrairement à ce que j’ai lu par çi par là)

      J’ai retenté l’update cette fois avec spip_loader qui me renvoie : 500 Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request.

      J’avoue que je suis perdu.

    • François

      Le zip que j’utilisais avait été téléchargé à l’adresse du point 3 de « Comment mettre à jour » dans cet article. Ca marche du premier coup avec le zip situé à l’adresse donnée par Keitaro.

      De quoi dérouter un novice en effet. Grand merci Keitaro

    • Peu de temps après le post de mon message, le svn.revision indiqué bien 2.1.8 et non là 2.1.6 ;)

      J’avais testé via proxy classique, proxy by pass et même via externe (ovh, orange) avant de psoter mon message, ça pointé vers le 2.1.6 ;)

      Niveau crédibilité à la baisse, on pourrait parler du plugin mutualisation facile, mais ce n’est pas le sujet ici.

    • Alors pour clore le sujet : le zip est bien bon depuis la sortie de la 2.1.8 (on ne l’a pas mis a jour entre temps l’air de rien), mais les réglages du serveur font qu’une url vers un document zip n’est rechargée par les navigateurs qu’au bout d’un mois.

      Autrement dit, si tu as déjà chargé la version stable il y a moins d’un mois (donc avec un numéro antérieur), le navigateur te ressort la même de son cache sur ton ordinateur, et non le zip à jour disponible sur le serveur. On va donc corriger cela pour fournir une url qui bouge quand le zip change.

      Je suis juste agacé sur les critiques gratuites sur le professionnalisme et la crédibilité.

    • Pour ajouter une couche sur ce que dit Cédric, je rappel que les forums de SPIP-Contrib sont là pour poser des questions sur le sujet de l’article (donc pas la peine de parler de la mutualisation facile ici) et pour s’entraider.

      Il ne s’agit pas d’un service de requête type commerciale, ni d’un endroit de dépôt de plainte ou d’accusation de untel ou untel.

      S’il y a un un problème, comme c’était le cas ici, inutile d’accuser de non professionalisme. D’une part parcque SPIP n’a jamais prétendu l’être : il prétend être de qualité. D’autre part, parcqu’il s’agit d’attaque relativement basse, surtout quand on déclare soit même ne pas être un professionel.

      Donc à l’avenir merci d’éviter ce genre de commentaire....

    • ça fait réagir, c’est pas mal.
      Oui une url du type « spip.x.x.x.zip » serait plus parlante pour les mise à jour ^_^

      Un peu trop habitué au service support, désolé de l’amalgame.

    • il y a pas de quoi … t’est pas le seul à qui c’est arrivé …

    Répondre à ce message

  • François

    Bonjour

    Je viens de suivre la procédure FTP pour passer mon site de SPIP 2.1.2 à SPIP 2.1.8.
    Résultat : plus d’accès à l’interface privé (login : Access forbidden) et de plus sur l’espace public je vois que je suis toujours en 2.1.2 ...

    Une âme charitable pour me guider ?

    Répondre à ce message

  • 11

    Je viens de faire la mise à jour.... et elle me pousse à poser deux petites questions :

    • Marque-t-elle en par ailleurs le retour de l’authentification par FTP avant de faire des opérations sur la base de données ? Il y a bien longtemps que je n’avais pas vu le familier message (veuillez créer un dossier ou un fichier adminxxxxxxxxx dans /tmp)... C’était pas mal de s’en passer... mais je suppose que c’est pour des raisons de sécurité également ?
    • A chaque mise à jour, je me pose la même question : peut-on garder le spip_loader.php présent à la racine des sites d’une fois sur l’autre, ou celui-ci est-il susceptible de changer d’une fois sur l’autre ?
    • le spip_loader va cherche la derniere version stable de SPIP. par contre, le risque c’est que des gens fasse une mise à jour à ta place. Donc change le nom :)

    • Merci Maïeul.
      Je n’avais pas bien compris ton message avant de faire la maj de la 2.1.6 vers la 2.1.8.
      Je l’ai réalisée très simplement avec spip_loader, comme je l’avais fait quelques jours plus tôt pour passer de la 2.1.0 à la 2.1.6. Et avec encore moins de soucis, alors que je m’attendais à des difficultés avec Couteau Suisse... Chez moi, il n’y a eu vraiment aucun problème, simplement une fois la 2.1.8 installée, j’ai vu qu’il y avait une maj disponible pour Couteau Suissse, et je suis passé de 1.8.30 à 8.1.31. Et tout baigne !
      C’est ensuite que je me suis dit : connaissant un site quelconque, je pourrais l’actualiser sans rien demander à personne, pour autant qu’il ait spip_loader, ce qui, si le site est un peu ancien, pourrait quand même causer quelques soucis à son proprio !
      Donc c’est une bonne idée de renommer spip_loader, pour éviter ce genre de mésaventure.

    • Attention, renommer spip_loader ne suffit pas => sinon on obtient un message d’erreur 404 « The requested URL /spip_loader.php was not found on this server. »

      Je crois qu’il faut également adapter les lignes 44 et 775 en remplaçant spip_loader.php par le nom_retenu.php. Je n’ai pas encore testé mais je vais le faire tout de suite.

    • Je ne comprends pas bien : Pour moi, quand j’ai voulu faire la mise à jour sur mon premier site avec le spip_loader.php , il m’a demandé de me connecter au site.
      Donc comment quelqu’un pourrait-il faire la mise à jour à ma place sans les identifiants Webmestre ?

    • et bien tant mieux s’il demande ... en fait j’en sais rien, mais 2 protections valent mieux qu’une

    • Etonnant que spip_loader ne produise pas les mêmes effets sur tous les sites ! En lisant les commentaires, je me suis dit que si j’avais pu mettre à jour mon site, sans aucun obstacle, il n’en allait peut-être pas de même sur un autre site. J’ai donc essayé sur un autre site, et comme pour le mien, j’ai immédiatement la fenêtre d’installation : « Téléchargement de SPIP. Bienvenue dans la procédure d’installation automatique », etc. Il est vrai que c’est un site où j’ai aussi accès à l’espace privé : Ça m’embête d’essayer sur un site que je ne connais pas, même sans dépasser la fenêtre de maj (évidemment !).
      Pour répondre à Roland, mon idée n’était pas de changer le nom de spip_loader AVANT, mais APRES la mise à jour effectuée. Et de ne remettre le nom spip_loader que lorsque une nouvelle maj serait à faire. D’ailleurs, le mieux ne serait-il pas de renommer le fichier « spip_loader.txt », pour n’avoir que l’extension à changer ?

    • J’ai changé le nom de spip_loader avant en modifiant les 2 lignes 44 & 775 et ça fonctionne parfaitement.

      Sur un autre site, j’ai testé sans être identifié. On peut lancer spip_loader mais alors il est demandé « veuillez créer un dossier ou un fichier adminxxxxxxxxx dans /tmp ». J’en déduis donc qu’on ne peut pas mettre à jour si on n’est pas identifié comme maître de toile.

    • En ce qui me concerne, j’ai fait sur mon site ce que je suggérais dans mon précédent message : j’ai renommé spip_loader.php en spip_loader.txt, et depuis quand j’essaie la maj par spip_loader, je reçois ce message : Not Found - The requested URL /spip_loader.php was not found on this server. - Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
      Ce soir je remettrai la bonne extension, et je reéessaierai pour voir si la modif est réversible (mais a priori, y a pas de raison).

    • J’ai remis le fichier spip_loader.txt en spip_loader.php, et de nouveau plus d’obstacle à ma maj.
      Donc c’est une bonne précaution de changer l’extension, en attendant d’avoir à faire une maj.

    • Une fois pour toute : le fichier spip_loader.php est protégé contre une exécution par un non webmestre une fois que SPIP est installé. Cela empêche donc toute utilisation malveillante.

    • oui je sais pas ce qu’il m’a pris de dire cela ... désolé de lancer des fausses rumeurs ...

      je crois qu’en fait ce qui m’a piégé c’est que j’ai pu faire une mise à jour sans avoir à me connecter à cause d’un cookie présent

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom