SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano

274 Plugins, 192 contribs sur SPIP-Zone, 63 visiteurs en ce moment

Accueil > Vie de SPIP et autour de SPIP > SPIP-core > Mise à jour de sécurité SPIP 2.1.9

Mise à jour de sécurité SPIP 2.1.9

25 mars 2011 – par L’équipe de SPIP-Contrib – 11 commentaires

Toutes les versions de cet article : [Español] [français]

5
5
5
5
5
21 votes

Bonjour,

nos services (merci encore une fois Arnault) viennent de découvrir un trou de sécurité dans SPIP, permettant une injection de type cross-site-scripting (XSS).

L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005), il est clair que TOUTES les versions de SPIP sont touchées.

Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html, qui se trouve dans le répertoire :

  • dist/ en version SPIP 1.9
  • squelettes-dist/ en version SPIP 2.0 ou 2.1
  • extensions/dist_2007/ en version de dev

Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.9

3. par FTP : SPIP 2.1.9 est disponible à l’adresse http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; faites simplement svn up

  • dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
  • dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
  • sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/

Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14 que vous trouverez sur http://files.spip.org/spip/archives/

Retour en haut de la page

Vos commentaires

  • Le 28 mars 2011 à 14:40, par Spip-User En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Suite à cette mise à jour, le message d’erreur qui doit s’afficher (issu du fichier langue public_fr.php par exemple) ne « traduit » plus les caractères accentués :

    1. Il n'y a pas d'article à cette adresse

    Comment faire pour que les caractères accentués passent à nouveau ?

    • Le 3 avril 2011 à 17:49, par Oggiwan En réponse à : Mise à jour de sécurité SPIP 2.1.9

      On peut tenter d’écrire :

      (#ENVerreur

      Mais j’ignore si l’emploi de cette fonction PHP ne réintègre pas la faille corrigée par la mise à jour de sécurité...

    Répondre à ce message

  • Le 30 mars 2011 à 15:14, par Cyril En réponse à : Mise à jour de sécurité SPIP 2.1.9

    D’abord je rejoint le commentaire d’avant. Un grand merci à tous ceux qui travail dans l’ombre pour faire avancer SPIP.

    J’aurai une petite question. Je gére le site internet www.voyagesbaroude.com où il y a un forum les gens peuvent laisser des commentaires à partir d’un article comme là. Je l’ai mis en mode (Modération à priori dans l’espace privé) mais j’ai des commentaires qui sont publiés sans mon aval alors que je suis le seul administrateur du site es-que la faille 404 pourrait y avoir contribué ou ça aucun rapport.

    Merci d’avance pour les réponse

    Cyril

    Répondre à ce message

  • Le 28 mars 2011 à 14:39, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    ok, merci !

    Répondre à ce message

  • Le 28 mars 2011 à 11:23, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    En fait je voulais savoir si l’actualisation suffit ou si on est obligé de modifier également le fichier 404.html customisé ; mais je viens de voir (sur la liste rezo) que l’actualisation suffit , merci.

    • Le 28 mars 2011 à 12:30, par Meuh En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Si tu as un fichier squelettes/404.html, je te conseille de le modifier également !

    • Le 28 mars 2011 à 12:47, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Mais c’est nécessaire ou seulement recommandé ?

      Je demande car j’ai beaucoup de sites à actualiser et si je ne dois pas vérifier à chaque fois si il y a un 404 personnalisé et le modifier, cela m’arrange.

      Rainer

    • Le 28 mars 2011 à 13:36, par Maïeul En réponse à : Mise à jour de sécurité SPIP 2.1.9

      c’est nécéssaire vu que c’est ce code [(#ENV*{erreur}|propre)] qui pose pb.

    Répondre à ce message

  • Le 28 mars 2011 à 10:17, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Dans le cas ou on a personalisé le 404.html , est-ce que une mise à jour suffit, ou doit-on encore modifier le 404.html personnalisé ?

    • Le 28 mars 2011 à 11:02, par Meuh En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

      Ce fichier 404.html est généralement dans squelettes/

    Répondre à ce message

  • Le 28 mars 2011 à 09:22, par Eric En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Merci à l’équipe SPIP, à vous, à nous ! ;-)

    Répondre à ce message

Répondre à cet article

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d'abord sur gravatar.com (gratuit et indolore) et n'oubliez pas d'indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Ajouter un document

Retour en haut de la page

Ça discute par ici

  • ScolaSPIP pour SPIP3

    21 mai – commentaires

    Un plugin-squelette personnalisable pour sites Web d’établissements scolaires

  • Plugin « Langue préférée par l’internaute »

    25 août 2009 – 20 commentaires

    Cet article explique comment fonctionne le plugin « Langue préférée par l’internaute » (langue_preferee) et comment le mettre dans un site multilingue existant.

  • Vidéo Accessible

    6 avril 2011 – 78 commentaires

    Un plugin pour faciliter la diffusion de vidéos accessibles. Accessibilité des vidéos Accessibilité de la vidéo Afin d’être pleinement accessible, une vidéo (composée d’images et de sons) doit répondre à plusieurs critères. Le critère de base est de (...)

  • Le Couteau Suisse

    4 mai 2007 – 1354 commentaires

    Ce plugin propose d’introduire facilement de simples fonctionnalités supplémentaires à SPIP et qui s’avèrent rapidement indispensables ! Par exemple : le contrôle de nombreuses variables « cachées » de SPIP, des améliorations ou facilités typographiques, (...)

  • MediaBox

    10 mai 2010 – 194 commentaires

    Aperçu La MediaBox est une Boîte multimédia polyvalente et personnalisable. Le plugin est basé sur la librairie moderne ColorBox, qui a été enrichie et adaptée pour SPIP. Par défaut, mediabox propose 5 habillages. Il est assez facile d’en créer de (...)