SPIP 1.9.2k, 2.0.16, 2.1.11 et 3.0.0-beta disponibles
Par Ben., vendredi 23 septembre 2011 à 12:53 :: SPIP ::#692
Bonjour,
plusieurs failles de sécurité ont été repérées dans les versions 1.9.2, 2.0 et 2.1 de SPIP.
Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net. C’est ce qu’a fait Laurent Estieux et nous l’en remercions.
La faille concernant la version 1.9.2 est majeure (injection sql) et si vous avez une version 1.9.2 de SPIP, nous conseillons vivement de faire la mise à jour en 1.9.2.k.
Concernant les versions 2.0 et 2.1, si l’impact sur un site est moins important (full path disclosure), nous conseillons toutefois de mettre à jour en 2.0.16 et 2.1.11.
Dans tous les cas vous avez toujours la possibilité de protéger rapidement votre site (en attendant sa mise à jour complète) en téléchargeant la version 1.0.5 (26 juillet 2011) de l’écran de sécurité, et en la déposant dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).
N’hésitez pas à utiliser les différents moyens mis à disposition de la communauté (http://boussole.spip.org) pour obtenir de l’aide lors de cette mise à jour ; en particulier :
- liste spip-user http://listes.rezo.net/mailman/list...
- forum http://forum.spip.org/
- IRC http://spip.net/irc
Avertissement :
Noter qu’à la sortie de la version 3.0, le support de la branche 1.9.2 sera définitivement abandonné.
Comment mettre à jour ?
- par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l’adresse
http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.11 - par copie des fichiers :
SPIP 2.1.11 disponible à l’adresse http://files.spip.org/spip/stable/s...
SPIP 2.0.16 disponible à l’adresse http://files.spip.org/spip/archives...
SPIP 1.9.2k disponible à l’adresse http://files.spip.org/spip/archives... - par SVN :
si vous êtes dans la branche 2.1 faites simplement un svn up svn ://trac.rezo.net/spip/branches/spip-2.1
la version 2.1.11 est aussi disponible sous la branche : svn ://trac.rezo.net/spip/branches/spip-2-stable/
et sous le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.11/
Post Scriptum :
Suite à un mouvement de foule concernant de multiples ’on-dit’ sur la date de sortie de la version 3.0, l’équipe SPIP-team se doit de réagir et faire taire toute rumeur : "La version SPIP 3.0.0 sortira quand elle sera prête !" D’ici là vous pouvez tester ’in situ’ ce qu’elle propose sur http://grml.eu/spip.php?article1 . Ou encore la télécharger sur http://files.spip.org/spip/dev/SPIP... (elle est disponible en version beta ce qui veut dire que l’on se rapproche de la date de sortie).
Post Scriptum 2 :
Avez-vous vu le tout nouveau, tout beau http://plugins.spip.net ? En fait
il n’est pas vraiment nouveau et il a toujours été beau. Mais il
est maintenant complètement automatique et basé sur de « puissants
algorithmes » :-)
Pour en savoir plus : http://plugins.spip.net/spip.php?ar...
La peinture est encore toute fraîche donc il se peut qu’il y ait
quelques coulures encore, mais allez-y.
Commentaires
Et l’écran de sécurité ne corrige pas les failles ?
Il faut bien lire le message :
Ah oui, j’ai été trop vite, merci