Langues du site : [ar] [en] [es] [fr] [it]

À propos de SPIP

SPIP

SPIP Blog

SPIP Démo

SPIP Doc

SPIP Forums

SPIP Herbier

SPIP Irc

SPIP Party

SPIP Sedna

SPIP Test-GrmlEU

SPIP User

SPIP Zone

Accueil du site > Vie de SPIP et autour de SPIP > SPIP-core > Archives SPIP-Core

Alerte Sécurité SPIP [2]

samedi 4 février 2006, par L’équipe de SPIP-Contrib. Dernier ajout dimanche 27 janvier 2008

Toutes les versions de cet article :

français
Español

Un important trou de sécurité vient d’être détecté dans SPIP ; il affecte toutes les versions disponibles, sur tous les systèmes et dans toutes les configurations.
Un complément a été ajouté au patch le 04/02/2006
-> la dernière version sûre est la 1.8.2g
Procédure de mise à jour

Un complément a été ajouté au patch le 04/02/2006

-> la dernière version sûre est la 1.8.2g

Il convient de mettre à jour votre site le plus tôt possible.

La nouvelle version stable est la 1.8.2g, que vous pouvez récupérer :

En téléchargeant le paquet zip à l’adresse habituelle.

http://www.spip.net/fr_download

Ou, si vous avez utilisé la méthode d’installation "spip-loader"., en vous rendant à l’adresse

http://MON-SITE/spip_loader.php3

Les seuls fichiers modifiés entre la 1.8.2e (précédente version stable) et la 1.8.2g (version stable courante) sont les suivants :

formulaires/inc-login_public.php3
formulaires/inc-formulaire_forum.php3
formulaires/inc-formulaire_inscription.php3
formulaires/inc-formulaire_signature.php3
formulaires/inc-formulaire_site.php3
inc-messforum.php3
inc-balises.php3
ecrire/inc_version.php3 (qui permet d’afficher le numéro de version 1.8.2g)

En savoir plus sur les modalités de mise à jour

Si vous souhaitez ne mettre à jour que les fichiers modifiés depuis la version 1.8.2e :


Patch de mise à jour 1.8.2e-> 1.8.2g: version standard en .php3
valalble aussi depuis la 1.8.2f
pour les versions antérieures : mise à jour complète nécessaire

patch 1.8.2e -> 1.8.2g (.php3)

Pour un un spip 1.8.2e en version .php au lieu de .php3


patch 1.8.2e -> 1.8.2g (.php)

P.-S.

La version de développement "SVN" a elle aussi été corrigée de ce bug, mais elle n’est évidemment pas recommandée "en production"

bien qu’elle fasse déjà tourner quelques sites connus de la communauté :-)

En cas de doute ou si vous rencontrez le moindre pépin, rendez-vous sur la liste des utilisateurs, spip@rezo.net

Répondre à cet article

Alerte Sécurité SPIP [2]
12 septembre 2006 08:51, par Developpeur

Bonjour,

Je suis nouveau parmis vous, je decouvre SPIP 191, et j’ai vu ce message, alors voila, qu’en est il pour SPIP 191 ?

Répondre à ce message
- Alerte Sécurité SPIP [2] 21 octobre 2006 17:35, par Maïeul
  
  Pas de probleme. Comme son numéro l’indique, spip 1.9.1 est posterieur à Spip 1.8.2g , donc pas de soucis à te faire ;-)
  
  Répondre à ce message
Retour au début des forums
Alerte Sécurité SPIP [2]
9 mars 2006 21:29, par PériGraphiste

C’est la première fois que je souhaite installer SPIP. J’ai téléchargé la version SPIP-v1-8-2-g.zip puis, comme j’avais le message ci-dessous, j’ai supprimé tous les fichiers installés sur mon FTP et j’ai essayé l’installation automatique avec le fichier spip_loader.php3 mais le même message s’affiche quand je lance l’installation en cliquant sur "commencer..." :

Fatal error : Call to unsupported or undefined function foreach() in inc_version.php3 on line 72

Je remercie par avance les personnes qui voudront bien m’aider à résoudre ce problème afin que je puisse découvrir ce gestionnaire de contenus Web.

PériGraphiste

PS : je travaille sur Mac.

Voir en ligne : Fatal error : ... inc_version.php3 à l’installation

Répondre à ce message
- Alerte Sécurité SPIP [2] 9 mars 2006 21:35, par Jacques PYRAT
  
  Un petit de google sur : spip 1and1 et tu auras la solution.
  
  Répondre à ce message
  - pb install spip sur 1and1 6 juillet 2006 17:04, par artauds
    
    Bonjour à tous, je galère comme un fou à installer spip. Je ne comprend pas, quand je vais sur http://monsite/, j’obtient la liste des fichiers contenu sur le serveur, ensuite lorsque je clique sur un fichie php ou php3 j’ai une erreur 404 ! J’ai essayé plusieurs manipes vu sur le net, mais rien n’y fait !
    
    QUE FAIRE ?
    
    si quelqu’un peut m’aider, svp ! Merci.
    
    Répondre à ce message
Retour au début des forums
version 1.8.2g
6 février 2006 15:33, par erational

comme je ne les ai pas trouvé ailleurs, si cela peut aider, voici les version 1.8.2g en version complète PHP (spip182e + maj 182e->g) :

SPIP 1.8.2g (php) (2.3 Mo)
SPIP 1.8.2g monolingue francais(php) (1.0 Mo)

Voir en ligne : erational

Répondre à ce message
- version 1.8.2g 12 mars 2006 18:32, par erational
  
  comme cegetel ferme les espaces perso sans notifications d’une façon autoritaire, voici un endroit plus stable où trouver les 1.8.2g et 1.8.3 en version php
  
  http://spip.monade.net/
  
  Répondre à ce message
Retour au début des forums
Alerte Sécurité SPIP [2] à modifier pour site chez Online
2 mars 2006 09:08, par Eric02

apres avoir "bouclé" en rond, puis avec le concours de Christophe et Jean Michel.

Un site placé chez Online m’envoyait des erreurs 302 de façon systématique.
Il faut modifier la fonction redirige_par_entete, définie dans le fichier inc_version.php

// envoyer le navigateur sur une nouvelle adresse //function redirige_par_entete($url) { // header("Location: $url"); // spip_log("redirige $url"); // http_status(302); // spip_header("Location: $url"); // exit; //}

par

// fonction redefinie sleepr_fr function redirige_par_entete($url) { spip_header("Refresh: 0; url=" . $url); spip_log("redirige $url"); echo "<html><head>"; echo "<meta http-equiv='Refresh' content='0; url=".$url."'>"; echo "</head>\n"; exit; }

Répondre à ce message

Retour au début des forums
Alerte Sécurité SPIP [2]
28 février 2006 11:50, par abach

Je viens d’appliquer le correctif en me contentant de la mise à niveau depuis la 1.8.2e. Dans la partie privée de mon site, j’ai toujours marqué 1.8.2e. Est-ce grave, normal ou ai-je fait une boulette ?

Répondre à ce message
- Alerte Sécurité SPIP [2] 28 février 2006 13:53, par philippe
  
  C’est pas "grave" mais pour le coup cela signifie que le fichier inc-version n’est pas passé et si celui-là n’est pas passé la question suivante c’est : est-ce que les autres sont bien passés ? :-)
  
  Répondre à ce message
  - Alerte Sécurité SPIP [2] 28 février 2006 23:06, par abach
    
    Je vais refaire le transfert, fichier par fichier, demain matin...
    
    Répondre à ce message
Retour au début des forums
Alerte Sécurité SPIP [2]
22 février 2006 23:39, par equino

Bonjour à toutes et tous J’ai du louper une étape... mais en quoi consiste ce "trou" de sécurité dans SPIP ? C’est à dire quel est l’impact de cette faille sur un site SPIP ? (modification des données,prise de contrôle du site, auto-destruction !!!???) merci de vos réponses Equino

Répondre à ce message

Retour au début des forums
Alerte Sécurité SPIP [2]
20 février 2006 22:35, par Rustine

Bonjour,

Mon site était en 1.8.2e, et j’ai effectué le transfert ftp des fichiers de mise à jour vers la 1.8.2g. J’ai pu acceder à mon espace privé, qui m’indique bien le numéro de version 1.8.2g, mais je n’ai pas eu le message : « Message technique : la procédure de mise à jour doit être lancée afin d’adapter la base de données à la nouvelle version de SPIP. Si vous êtes administrateur du site, veuillez cliquer sur ce lien. »

Est-ce normal ? Est-ce que la mise à jour corrigeant la faille de sécurité a bien été effectuée ou dois-je recommencer ?

Merci pour vos reponses,

Rustine

Répondre à ce message
- Alerte Sécurité SPIP [2] 20 février 2006 22:43, par Cedric Morin
  
  de 182e vers 182g il n’y a pas de modification de la base, donc c’est tout a fait normal. Le fait que la version soit bien affichee en bas de l’espace privé prouve que la mise a jour a bien été faite.
  
  Répondre à ce message
  - Alerte Sécurité SPIP [2] 21 février 2006 09:55, par Rustine
    
    c’est bien ce que pensais, mais je prefère avoir la confirmation, merci bcp !
    
    Répondre à ce message
Retour au début des forums
Alerte Sécurité SPIP [2]
17 février 2006 15:53, par Laurent666

Bonjour, Plusieurs choses m’étonnet vis à vis des mises à jour de Spip :
la dernière mise à jour (vers la version 1.8.2 e) m’avais fait perdre mon site (ok, j’avais oublié de sauvegarder la base, mais j’ai laissé tomber depuis longtemps l’idée de sauver quoique ce soit avec Spip ou PhpMyAdmin
la nouvelle mise à jour m’a fait perdre mon site à nouveau...

J’ai un autre site migrer, je me pose la question de la nécessité : dois-je à nouveau tout perdre ?! Je pense que je vais attendre une mise à jour du système de mise à jour ?!

Répondre à ce message

Retour au début des forums
Alerte Sécurité SPIP [2]
15 février 2006 12:57, par Richard Bennahmias

le site que j’administre est sous 1.8.2 d en php. existe-t-il une version 1.8.2 g en php ? Et quelles sont les différences entre 1.8.2 d et 1.8.2 g en dehors de la correction de la faille de sécurité signalée.

Répondre à ce message

Retour au début des forums
Alerte Sécurité SPIP [2]
13 février 2006 11:52, par gorbi1

Bonjour à tous, Je viens d’effectuer la mise à jour de sécurité en remplacant les anciens fichiers par le pack que vous fournissez plus haut. Mais je n’arive plus à acceder à mon espace privé, ou du moins à y rentrer pour de bon : il m’indique en permanence ce message :

Message technique : la procédure de mise à jour doit être lancée afin d’adapter la base de données à la nouvelle version de SPIP. Si vous êtes administrateur du site, veuillez ’cliquer sur ce lien’

En ’cliquant sur ce lien’, je tombe sur une page ou on m’indique que je dois créer un répertoire avec un nom des plus étranges.. Je le fais mais il ne se passe absolument rien. Le repertoire doit etre creer dans ’ecrire/data’ mais apperement il n’en tient pas compte. Alors que faire ? Merci de vos idées !

Répondre à ce message
- Alerte Sécurité SPIP [2] 13 février 2006 16:15, par soon7
  
  Le fait de te faire créer un répertoire avec un nom choisi au hasard par spip permet de vérifier que la personne qui essaye de mettre àjour est effectivement la personne gérantle site, et qui a donc accès par ftp au site pour créer un répertoire. Une fois que tu as crée le répertoire qu’il ta demandé, passe ses droits en 777, et normalement ce sera bon !
  
  Répondre à ce message
Retour au début des forums
Alerte Sécurité SPIP [2]
10 février 2006 12:02, par BS

J’ai installé sur mon site la version développement, version alpha de septembre. La version développement en est à alpha béta et a été profondément remaniée. Je ne peux donc récupérer uniquement les fichiers concernés par le trou de sécurité sans passer par une reinstallation complète. Je dois donc utiliser la nouvelle version... qui est bien trop nouvelle. Il y a trop de changement (fin du php3...) pour m’y risquer. Cette nuit, j’ai essayé de faire une chose qui n’est pas conseillé. J’ai exporté ma base sql sur mon pc, détruit tout les fichiers et la base aussi. Puis j’ai réinstallé la version 1.82 et une fois la procédure fini, j’ai réaspiré avec phpmyadmin la base sql de 1.9. Miracle, je me couche en croyant que ça a marché. En effet, j’ai pu accédé à l’espace privé. L’espace public fonctionne. Ce matin, je me réveille avec le message type : vous avez réinstallé une version antérieure : attention, il faut... J’ai donc réinstallé la version 1.9. Et j’ai planté mon site. Sur un autre, j’ai réussi à réinstallé la version 1.9. Aussi, je ne désespère pas... mais tout ça ne résoudra pas le problème de la faille dé sécurité. Quelqu’un pourrait-il m’aider ?

Répondre à ce message

Retour au début des forums
Alerte Sécurité SPIP [2]
9 février 2006 22:22, par boborigolo

j’ai fait la mise a jour du 04 fevrier, et suite au trasfert des fichiers par FTP, je n’ai rien qui s’est passé sur mon site tous va bien ? est ce normal et pouvez vous me dire comment verifier si ma mise a jour s’est correctement déroulé !!

merci

pour info l’adresse de mon site :

http://b.thomas1.free.fr/

Voir en ligne : canyon66

Répondre à ce message
- Alerte Sécurité SPIP [2] 10 février 2006 01:03, par martin
  
  Dans l’interface privé regarde en bas a droite le numéro de version que spip indique. Indique-t’il 1.8.2.g ?
  
  Est-ce que ca veux dire que tout est ok ? Je ne suis pas sûr.
  
  Répondre à ce message
Retour au début des forums
Alerte Sécurité SPIP [2]
9 février 2006 00:48, par jfredd

Bonjour,

on parle beaucoup de la 1.8. Qu’en est-il de la 1.7.2 ? L’upgrade est-il obligatoire de la 1.7.2 à la 1.8.2g ?

Je sais lire et j’ai vu que cela avait l’air de concerner toutes les versions de spip, mais j’ai plusieurs gros sites avec des trucs spécifiques et j’aimerais être sûr que l’upgrade est incontournable avant de me lancer dans un boulot de fou.

Merci de votre réponse.

Répondre à ce message

Retour au début des forums
Alerte Sécurité SPIP [2]
8 février 2006 22:47, par martin

Merci pour l’upgrade,

SPIP "spip_log" and "include_local"

Une autre vulnérabilité ?

Répondre à ce message

Retour au début des forums
Alerte Sécurité SPIP [2]
4 février 2006 22:21, par toggg

Merci pour l’upgrade. Je crois bien que ecrire/inc_version.php3 est toujours marqué 1.8.2 f. Pas grave ... Bon courage !

Répondre à ce message
- Alerte Sécurité SPIP [2] 4 février 2006 23:48, par nat33
  
  Bien vu : merci ! c’est corrigé.
  
  Répondre à ce message
Retour au début des forums

0 | 25

RSS 2.0 | Plan du site | Espace privé | Charte et vie SPIP-Contrib |

| L'autre.net