Vous êtes ici » Blog » Problème sécurité SPIP

Problème sécurité SPIP


Bonjour,

plusieurs failles de sécurité ont été repérées dans les versions 1.9.2, 2.0 et 2.1 de SPIP.

Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net. C’est ce qu’a fait Laurent Esthieux (TEHTRI-Security) et nous l’en remercions.

La faille concernant la version 1.9.2 est majeure (injection sql) et si vous avez une version 1.9.2 de SPIP, nous conseillons vivement de faire la mise à jour en 1.9.2.k.

Concernant les versions 2.0 et 2.1, si l’impact sur un site est moins important (full path disclosure), nous conseillons toutefois de mettre à jour en 2.0.16 et 2.1.11.

Dans tous les cas vous avez toujours la possibilité de protéger rapidement votre site (en attendant sa mise à jour complète) en téléchargeant la version 1.0.5 (26 juillet 2011) de l’écran de sécurité, et en la déposant dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).

N’hésitez pas à utiliser les différents moyens mis à disposition de la communauté (http://boussole.spip.org) pour obtenir de l’aide lors de cette mise à jour ; en particulier :
- liste spip-user http://listes.rezo.net/mailman/list...
- forum http://forum.spip.org/
- IRC http://spip.net/irc

Avertissement :

Noter qu’à la sortie de la version 3.0, le support de la branche 1.9.2 sera définitivement abandonné.

Comment mettre à jour ?

1. par spip_loader.php : si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.11

2. par copie des fichiers : SPIP 2.1.11 est disponible à l’adresse http://files.spip.org/spip/stable/s... SPIP 2.0.16 est disponible à l’adresse http://files.spip.org/spip/archives... SPIP 1.9.2k est disponible à l’adresse http://files.spip.org/spip/archives...

3. par SVN ; si vous êtes dans la branche 2.1 faites simplement un svn up svn ://trac.rezo.net/spip/branches/spip-2.1 la version 2.1.11 est aussi disponible sous la branche : svn ://trac.rezo.net/spip/branches/spip-2-stable/ et sous le tag svn ://trac.rezo.net/spip/tags/spip-2.1.11/

Post Scriptum :

Suite à un mouvement de foule concernant de multiples ’on-dit’ sur la date de sortie de la version 3.0, l’équipe SPIP-team se doit de réagir et faire taire toute rumeur : "La version SPIP 3.0.0 sortira quand elle sera prête !" D’ici là vous pouvez tester ’in situ’ ce qu’elle propose sur http://grml.eu/spip.php?article1 . Ou encore la télécharger sur http://files.spip.org/spip/dev/SPIP... (elle est disponible en version beta ce qui veut dire que l’on se rapproche de la date de sortie).

Post Scriptum 2 :

Vous avez vu le tout nouveau tout beau http://plugins.spip.net ? En fait il n’est pas vraiment nouveau et il a toujours été beau. Mais il est maintenant complètement automatique et basé sur de "puissants algorithmes" :). Pour en savoir plus : http://plugins.spip.net/spip.php?ar.... La peinture est encore toute fraîche donc il se peut qu’il y ait quelques coulures encore, mais allez y.


  • Pragmacom Web Solutions home
  • Pragmacom Web Solutions home
  • Pragmacom Web Solutions web
  • Pragmacom Web Solutions web
  • Pragmacom Web Solutions web
  • lien
  • lien
  • lien
Ils nous ont fait confiance !

capture d'un site web
  1. "Le résultat est à la hauteur des espérances, et les délais de réalisation ont été respectés, malgré un budget de départ serré. Merci!"
    Nathalie

    PS : GreenCook veut réduire le gaspillage alimentaire et faire de la zone ENO un modèle de gestion alimentaire durable En savoir plus

 

 

Contact © 2010 //hosting and //conception Pragmacom Main&Design       //Conditions générales    Al Cassette 11, 5340 Haltinne, +32 81 583380