Carnet Wiki

Template pour communication release

Mise à jour CRITIQUE de sécurité : sortie de SPIP 3.2.9 et SPIP 3.1.15

Des failles de sécurité nous ont été signalées sur la branche 3.2, elles permettent à des auteurs identifiés d’exécuter du code PHP arbitraire. La version SPIP 3.2.9 corrige ces failles.

Nous sortons aussi une version SPIP 3.1.15 qui corrige ces failles pour la branche 3.1.

Il est impératif de mettre à jour votre site SPIP dès que possible.

Attention : si vous êtes est sous SVN : le dépôt SVN n’est plus mis à jour. Il faut donc passer sous Git.

Il n’a pas été possible de faire en sorte que l’écran de sécurité corrige ces failles, nous vous conseillons donc vivement de faire cette mise à jour.

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 4.3.0).
https://www.spip.net/spip-dev/INSTALL/spip_loader.php ( les sources du spip_loader sont ici https://git.spip.net/spip-contrib-outils/spip_loader si vous souhaitez )

Résumé des versions de SPIP

Branche Version Suivi
SPIP 3.2 SPIP 3.2.9 Branche stable
SPIP 3.1 SPIP 3.1.15 Branche maintenue

Les versions SPIP 3.0, 2.1 et antérieures ne sont plus maintenues.
Même si elles ne sont pas impactées par cette faille, il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Si vous êtes un peu perdu⋅e il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur la liste spip-dev https://listes.rezo.net/mailman/listinfo/spip-dev

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, allez sur https://forum.spip.net
Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net

JLuc - Mise à jour :23 février 2021 à 20h33min