SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano

246 Plugins, 178 contribs sur SPIP-Zone, 170 visiteurs en ce moment

Accueil du site > Vie de SPIP et autour de SPIP > SPIP-core > Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

6 août 2009 – par L’équipe de SPIP-Contrib – 93 commentaires

Toutes les versions de cet article : [عربي] [English] [français] [italiano]

4
4
4
4
4
74 votes

Un grave problème de sécurité vient d’être corrigé dans SPIP ; tout ce qu’il faut savoir à ce propos.

(reprise texto d’un mail sur spip-ann)

Bonjour,

un grave problème de sécurité vient de nous être signalé ; ce problème affecte toutes les versions de SPIP 2.0.x jusqu’à SPIP 2.0.8, ainsi que la branche 1.9. Il permet à un attaquant ne disposant d’aucun mot de passe de prendre le contrôle de votre site SPIP et de votre serveur web.

L’alerte est d’autant plus sérieuse que le "trou" n’a pas cette fois été découvert par un "gentil", mais par un véritable "méchant" qui a pris le contrôle d’un site existant pour y insérer des malware.

Correctifs

Nous publions donc aujourd’hui deux versions de maintenance de SPIP, qui corrigent ce bug :
-  SPIP 2.0.9, dernière version stable et officielle, qui contient, outre la correction de ce problème de sécurité, quelques améliorations, listées ci-dessous.
-  SPIP 1.9.2i, version de maintenance de la branche 1.9.2

à télécharger sur => http://files.spip.org/spip/stable/ =>http://files.spip.org/spip/archives/ (pour la version 1.9.2i)

ou, si vous utilisez spip_loader, en vous rendant à l’adresse => http://xxx.example.tld/spip_loader.php

Pour les spécialistes, le patch de sécurité stricto sensu pour la branche 2.0.x, qui ne corrige aucun autre bug et n’apporte aucune autre fonctionnalité, peut se trouver ici : http://fil.rezo.net/secu-14346-1435... Il s’agit des révisions [14347] [14348] [14349] [14350] et [14354].

Pour la branche 1.9.2x le patch est ici : http://trac.rezo.net/trac/spip/chan...

Ecran de sécurité

Si vous n’avez pas la possibilité de procéder à la mise à jour complète tout de suite, nous vous invitons à colmater sans attendre le problème en installant sur votre site l’« écran de sécurité », que vous pouvez découvrir à l’adresse : http://www.spip.net/fr_article4200.html Cet écran permet de bloquer une éventuelle attaque sans pour autant devoir mettre à jour les fichiers de SPIP.

Crédits

L’attaque a été détectée et analysée par Thomas Sutton et Pierre Rousset.

Nous vous rappelons que le meilleur moyen pour nous signaler un problème de sécurité est d’envoyer un mail à la liste spip-team arobize rezo.net

Retour en haut de la page

93 Messages de forum

Voir toute la discussion

Pages 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10

  • Répondre à ce message

    15 octobre 2009 15:28, par ratch
    Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    le fichier documenter_objet.php ne se trouvait pas ecrire/inc : c’est corrigé. visiblement, lors du ftp, la copie ne s’est pas faite.

    c’est résolu.

  • Répondre à ce message

    15 octobre 2009 15:03, par ratch
    Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Avec le passage de la 2.0.8 à la 2.0.9, j’ai le message Fichier documenter_objet introuvable lorsque je clique sur article dans la partie privée. Je n’ai pas de probleme en 2.0.9 partant de zero.

  • Répondre à ce message

    4 octobre 2009 23:10, par JFD
    "Fatal error" en faisant "Répondre à cet article"

    Bonjour à tous,
    Suite à l’alerte de sécurité ci-dessus, j’ai fait passer mon site de la version 2.0.7 à la version 2.0.9.
    Depuis, si quelqu’un fait "Répondre à cet article", quand il clique sur "Voir ce message avant de le poster" il déclenche l’erreur suivante : "Fatal error : Call to undefined function : cs_glossaire() in /homez.34/periple/www/xxx/squelettes-dist/formulaires/forum.php(275) : eval()’d code on line 1""
    Je suis hébergé chez OVH, et j’observe la même erreur sur mon site de test en local. J’utilise les plugins Couteau Suisse, Spip listes, Spip Bonux, Compositions, Mini Calendrier.

    Est-ce que quelqu’un a observé ce phénomène et a pu le corriger ?
    Merci par avance de vos réponses.
    JF David

  • Répondre à ce message

    2 octobre 2009 10:58, par erwan
    SPIP 2.0.9 : problème avec les boucles récursives ?

    Ce comportement me pose problème aussi. Je cherche à afficher un plan en mélangeant articles et rubriques, et j’ai besoin de mettre une boucle dans la partie optionnelle, pour pouvoir traiter le cas des rubriques qui ne contiennent que des articles, et le parametre ID_PARENT ne semble pas visible dans la partie optionnelle (ce qui est légitime à top-level, mais pas quand on commence à rentrer dans les appels récursifs).

    Bon, ce que je raconte ne doit pas être compréhensible si je ne donne pas la boucle en question. La voici donc (j’ai nettoyé des trucs inutiles ; j’espere ne pas en avoir enlevé trop) :

    <B_rub>
    <ul>
     <BOUCLE_rub(RUBRIQUES){tout}{racine}{par num titre}{doublons} >
     <li>
         <a  href="#URL_RUBRIQUE">[(#TITRE)]</a>
         <B_sousrub>
         <ul>
            <BOUCLE_sousrub(RUBRIQUES){tout}{id_parent}{par num titre}{doublons exclus}>
              <BOUCLE_art(ARTICLES){tout}{id_rubrique=#ID_PARENT}{par num titre}{titre<#TITRE*}{doublons}>
              <li> <a  href="#URL_ARTICLE">[(#TITRE)] </a> </li>
             </BOUCLE_art>
              <li> <a href="#URL_RUBRIQUE">[(#TITRE)] </a>
             <BOUCLE_recursive(BOUCLE_sousrub)>   </BOUCLE_recursive>
              </li>
                   [(#REM) à cause de la condition titre inf #TITRE*, on a pu raté des articles :
                    on en remet donc une boucle.]
                  <BOUCLE_art_apres(ARTICLES){tout}{id_rubrique=#ID_PARENT}{par num titre}{doublons}>
                    <li> <a href="#URL_ARTICLE">[(#TITRE)] </a>  </li>
                  </BOUCLE_art_apres>
         </BOUCLE_sousrub>
         </ul>
         </B_sousrub>
         <B_art_opt> [(#REM) Pour afficher les articles sans rubriques soeurs]
         <ul>
            <BOUCLE_art_opt(ARTICLES){id_rubrique=#ID_PARENT}{par num titre}{doublons}>
              <li>  <a href="#URL_ARTICLE ">[(#TITRE)]</a> </li>
           </BOUCLE_art_opt>
         </ul>
         </B_art_opt>
         <//B_sousrub>
     </li>
     </BOUCLE_rub>
    </ul>
    </B_rub>

    L’idee de cette boucle est d’afficher au même niveau les articles et les rubriques appartenant à une meme rubrique. Un probleme survient avec cette facon de proceder quand des articles sont dans une rubrique sans rubrique, d’où la boucle art_opt dans la partir optionnelle de la boucle principale.

    Et mon souci, c’est que #ID_PARENT semble invisible dans la boucle BOUCLE_art_opt. Je comprend de cette file que si ca se trouve, ca marchait avant...

  • Répondre à ce message

    26 septembre 2009 22:01, par MR
    SPIP 2.0.9 : problème avec les boucles récursives ?

    Je réponds ici, vu qu’il s’agit davantage d’une différence de comportement des versions qu’un bug à proprement parler (?). Voici ce que j’ai trouvé en retravaillant mes squelettes (désormais compatibles 2.0.9) :

    SPIP 2.0.8 supportait des boucles imbriquées dans des boucles récursives même si les boucles imbriquées étaient placées dans les parties optionnelles avant ou après ou dans la partie alternative.

    Avec SPIP 2.0.9 il vaut mieux s’arranger pour que les boucles imbriquées soient dans le "corps" de la boucle récursive (il me semble que c’est un problème de passage de paramètres pour les critères de des boucles imbriquées).

    Ca n’a rien à voir, mais j’ai remarqué que la balise #CHAPO renvoie désormais un contenu vide si l’article est virtuel, ce qui est somme toute plus pratique ; mais c’est mieux quand on le sait.

    Quand la documentation sortira t-elle en même temps que les nouvelles versions et non des années plus tard ?

  • Répondre à ce message

    16 septembre 2009 11:37, par gerard
    Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Bonjour,

    J’ai exactement le même problème !.. J’ai fais une mise à jour spip du 192d à 209, et depuis le 19 août je n’ai reçu aucune réponse ...
    Donc dans le cas où tu recevrais une réponse en privé, je suis preneur ...

    Le seul moyen que j’ai trouvé pour entrer est de faire une mise à jour virtuelle en supprimant " config et tmp " par ftp ( Attention, sauvegarder tous les réglages des plugins, car il faudra ré-inscrire tous les paramètres [1] .. ) :
    -  refaire l’indentification de la base de données ( pas de changement ),
    -  entrer un nouveau login et un nouveau mot de passe propre à ton identification avec spip ( puisqu’avec celui déjà existant cela ne fonctionne pas !!! ), et redonner ce nouveau login et/ou le passe une deuxième fois pour entrer dans la partie privée quand la mise à jour est terminée ...

    A priori le cookie de correspondance ( penser à bien l’activer .. avant de repasser dans la partie publique ) semble permanent, ou tout du moins il s’agit de le réactiver ( pour moi une fois depuis le 19 août ).
    Grand désavantage, .. il est impossible de travailler avec un autre navigateur, ou même sur un autre ordinateur, sans refaire une ré-installation virtuelle et avec un nouveau login et passe ( puisque toute nouvelle ré-identification est impossible, login qui s’efface et redemande, et redemande ... ), pas très pratique .., perte de temps ...
    Et je ne peux même pas savoir si à priori des intentions malveillantes dormantes extérieures ( quelles soient gouvernementales et/ou privées genre hadopi x et pirates autres ... ) sont à l’affût de prendre le contrôle éventuel du site ( !?. ) ...

    Mais c’est éventuellement une solution d’attente avant qu’enfin le groupe de programmeur de cette version réponde enfin au problème posé soit par une mise à jour partielle ou un patch qui permettrait de reprendre le contrôle total. Et surtout dans cette attente évite toutes intrusions possibles par des forums ou autre.

  • Répondre à ce message

    12 septembre 2009 18:12, par erational
    Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    non, tu dois voir figurer la mention SPIP 209 dans le backoffice (en bas de page)

    normalement pour un passage de SPIP 208 à SPIP 209,un message t’avertit que SPIP va effectuer une mise à jour.

  • Répondre à ce message

    12 septembre 2009 11:35
    Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    il me semble avoir fait la mis à jour normalement, pourtant dans l’espace privé il est toujours mentionné que j’ai affaire à la version 2.0.8, est-ce normal ?

  • Répondre à ce message

    10 septembre 2009 00:21
    SPIP 2.0.9 : problème avec les boucles récursives ?

    J’ai recopié ton squelette, et je n’ai pas de page blanche du moment que la rubrique a des rubriques filles. Par ailleurs, ce genre de message doit être posté sur le site spip_forum, cet article n’étant pas consacré à des problèmes éventuels de la 2.0.9.

  • Répondre à ce message

    9 septembre 2009 15:57, par Cbastien
    Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Bonjour, j’ai mis à jour la version spip 1.9.2.f à la version 2.0.9. Le site s’affiche normalement. Le seul bug : lorsque que je veux me connecter au Back Office, le login ne semble pas être pris en compte. En le validant, il s’efface et rien ne se passe.

    Merci à vous .

Pages 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10

Répondre à cet article

Retour en haut de la page

Ça discute par ici

  • Les thèmes de Sarka-SPIP 3

    26 décembre 2009 – 14 commentaires

    Cet article a pour but de présenter brièvement la liste des thèmes propres à Sarka-SPIP au travers d’une galerie de vignettes. La galerie Vous pouvez télécharger le thème que vous désirez en cliquant sur sa vignette. Prochainement, une description de (...)

  • Formulaire de participation à un événement

    23 janvier – 17 commentaires

    Cet article tente de rassembler des informations au sujet de l’affichage d’un formulaire de participation aux événements gérés par le plugin Agenda développé par Cédric Morin. La version 2 du plugin Agenda permet d’afficher dans l’espace public des (...)

  • Le Squelette Zpip

    11 novembre 2009 – 119 commentaires

    Zpip [1] est un squelette réutilisable, modulaire et disposant d’une galerie de thèmes. Il est issu d’une fusion des projets Zesty et SPIP-Zen. Installer Zpip Pour installer Zpip et jouer avec sans plus attendre, il suffit de suivre le guide (...)

  • Plugin Pages uniques

    11 décembre 2008 – 74 commentaires

    Allez, avouez... il ne vous est jamais arrivé d’avoir besoin d’articles qui ne sont rattachés à aucun rubriquage particulier ? Des articles uniques, n’ayant ni de thème, ni de rapport avec aucun autre ? Ou encore des articles pour lesquels vous avez (...)

  • Le Couteau Suisse

    4 mai 2007 – 835 commentaires

    Ce plugin propose d’introduire facilement de simples fonctionnalités supplémentaires à SPIP et qui s’avèrent rapidement indispensables ! Par exemple : des filtres supplémentaires, des balises pratiques, des facilités typographiques, le contrôle de (...)