SPIP 1.9.2n, 2.0.17, 2.1.12 disponibles
Par Ben., jeudi 17 novembre 2011 à 14:42 :: SPIP ::#696
Bonjour,
Plusieurs failles de sécurité ont été repérées (Merci à High-Tech Bridge SA Security Research Lab, Davy et Arnault) dans les versions 1.9, 2.0 et 2.1 de SPIP.
Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles, est d’envoyer un email à spip-team@rezo.net.
Deux des failles concernent les versions 2.0 et 2.1. La plus sévère ouvre la possibilité pour un membre non autorisé de se déclarer administrateur. Les deux autres concernent l’affichage de « full path disclosure » et une possibilité d’injection XSS.
La mise à jour du célèbre écran de sécurité ne protège pas des trois failles précitées : il n’a pas été possible de faire un code léger qui comblerait ces trois problèmes. Néanmoins, vous êtes encouragé à télécharger sa version la plus récente (1.0.6 du 05 novembre 2011) et la déposer dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).
Pour la version 1.9 la mise à jour de l’écran est suffisante si vous ne souhaitez pas passer en version 1.9.2n.
Pour les versions 2.0 et 2.1, nous vous recommandons de mettre à jour SPIP, car l’écran ne corrige pas les failles qui concernent spécifiquement ces versions.
En clair, nous vous recommandons fortement de mettre à jour.
N’hésitez pas à utiliser les différents moyens mis à disposition par la
communauté pour obtenir de l’aide lors de cette mise à jour :
Liste spip-user : http://listes.rezo.net/mailman/list...
Forum : http://forum.spip.org/
IRC : http://spip.net/irc
Comment mettre à jour ?
1. par spip_loader.php : si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.12
2. par copie des fichiers : SPIP 2.1.12 est disponible à l’adresse http://files.spip.org/spip/stable/s...
3. par SVN ; si vous êtes dans la branche 2.1 faites simplement un « svn up » svn ://trac.rezo.net/spip/branches/spip-2.1 la version 2.1.12 est aussi disponible sous la branche : svn ://trac.rezo.net/spip/branches/spip-2-stable/ et sous le tag svn ://trac.rezo.net/spip/tags/spip-2.1.12/
Les versions 2.0.17 et 1.9.2.n sont téléchargeables ici : http://files.spip.org/spip/archives/
Post Scriptum :
Comment être tenu au courant de ces annonces ? Le plus simplement du monde en s’inscrivant sur la mailing liste http://listes.rezo.net/mailman/list... .
Bien sûr les réseaux sociaux ne sont pas en reste :
@spipeau : http://twitter.com/spipeau
Facebook : http://www.facebook.com/pages/SPIP/...
Seenthis : http://seenthis.net/people/spip
Commentaires
Bonjour,
Que voulez-vous dire par « Pour la version 1.9 la mise à jour de l’écran est suffisante si vous ne souhaitez pas passer en version 1.9.2n. » ?
Y-a-t-il moyen de récupérer uniquement le(s) fichier(s) modifié(s) entre 1.9.2m et 1.9.2n ?
Merci beaucoup.