Mise à jour de sécurité SPIP 3.0.2, 2.1.15 et 2.0.20

Des failles nous ont été signalées, elles concernent les branches 2.0, 2.1 et 3.0. Nous vous encourageons à mettre à jour vos SPIP : voir ci dessous pour les détails.

C’est l’occasion pour nous aussi de reparler de la sortie de la 3.0 : vous avez peut être raté l’information de sa sortie.

SPIP 3.0.2 est donc là et bien là : pour corriger certaines anomalies qui nous ont été signalées sur les versions précédentes. Rappelons ici que tout comportement suspect et problématique peut faire l’objet d’un rapport le plus précis possible sur le site http://core.spip.org/projects/spip/issues/ .

Pour corriger certaines anomalies qui nous ont été signalées [1] sur les deux versions précédentes (3.0.0 et 3.0.1), la version 3.0.2 de SPIP est dorénavant disponible.

Cette version 3.0.2 corrige notamment :

Cette annonce est l’occasion de compléter l’information communiquée dans les précédentes

La sortie officielle de SPIP 3.0 s’est faite grandement attendre, nous en convenons. Mais il est important de rappeler qu’entre les versions 2.1 et 3.0, d’importants chantiers ont été mis en œuvre et sont déjà bien aboutis.

plugins.spip.net

Le site des plugins a été revu en profondeur afin d’être complètement automatisé. Il est mis à jour toutes les 6 heures en synchronisation avec les commits faits sur la Zone.

Chaque développeur de la communauté mettant à disposition son code sur la Zone peut fournir ses contributions automatiquement dans « plugins.spip.net » et son flux de plugins [2] en modifiant le fichier archivelist.txt.

Pour les utilisateurs de « plugins.spip.net », la recherche d’un plugin est facilitée par la possibilité de filtrer les résultats en fonction d’une version de SPIP particulière : découvrez par exemple la liste des plugins compatibles avec SPIP 3

Bye bye trad-lang, bienvenue à trad.spip.org

Après plusieurs années de bons et loyaux services, il était temps pour « trad-lang » de céder la place à un nouvel outil de traduction de l’interface de SPIP et de l’ensemble des contributions. Depuis quelques temps déjà, Salvatore s’occupait de la synchronisation des fichiers de langues et de la base de données des traductions. Il est maintenant accompagné d’un nouveau site http://trad.spip.org, motorisé uniquement par des plugins SPIP et proposant une interface de traduction revisitée.

L’objectif de « trad.spip.org » est d’ouvrir les traductions au plus grand nombre, de disposer d’une interface un peu plus moderne et d’automatiser petit à petit la génération des fichiers de langues.

Vous aurez peut-être remarqué que depuis SPIP 3.0, les contributeurs traducteurs sont cités dans le code lui-même ?

Peut-être est-ce passé également inaperçu mais l’interface de SPIP 3.0 est dorénavant disponible en slovaque. Merci au travail de Jaro qui a fait du slovaque la seconde langue de SPIP, au détriment de l’anglais, du farsi, de l’arabe et de toutes les autres…

Pour s’y retrouver dans la galaxie SPIP ?

Depuis quelques mois aussi, un site, ou plutôt une page, la « Boussole SPIP », vous permet de vous repérer dans les outils et les sites de la communauté.

Cette Boussole SPIP a de plus été déployée sur les sites de la galaxie avec un format adapté à chacun.

SPIP 3.0.2, 2.1.15 et 2.0.20

L’utilisation de l’écran de sécurité mis à jour protège de toutes les failles qui nous ont été signalées dans toutes les versions de SPIP. Vous êtes encouragés à télécharger la version la plus récente de l’écran de sécurité (1.1.2 du 12 juin 2012) et à la déposer dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).

Toutefois, si vous avez la possibilité, nous vous recommandons fortement de mettre à jour SPIP avec les nouvelles versions. N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette
mise à jour :
-  Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
-  Forum : http://forum.spip.org/
-  IRC : http://spip.net/irc

Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net

Comment mettre à jour ?

1. par spip_loader.php : si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP. Attention cependant : lisez bien les instructions ici : http://www.spip.net/fr_download#spip_loader pour ne pas être surpris par un passage non voulu de SPIP2 à SPIP3

2. par copie des fichiers : SPIP 3.0.2 est disponible à l’adresse http://files.spip.org/spip/stable/spip-3.0.zip

3. par SVN : si vous êtes dans la branche 3 faites simplement un « svn up » svn ://trac.rezo.net/spip/branches/spip-3.0 la version 3.0.2 est aussi disponible sous
la branche : svn ://trac.rezo.net/spip/branches/spip-3-stable et sous le tag svn ://trac.rezo.net/spip/tags/spip-3.0.2

Les versions 2.0.20 et 2.1.15 sont téléchargeables ici : http://files.spip.org/spip/archives/

Notes

[1Rappelons ici que tout comportement suspect et problématique peut faire l’objet d’un rapport le plus précis possible sur le site http://core.spip.org/projects/spip/issues/

[2SVP, le nouveau système de gestion des plugins de SPIP, si vous ne l’avez pas encore remarqué, permet de récupérer ou mettre à jour vos plugins depuis les contributions de http://plugins.spip.net

Discussion

11 discussions

  • Bonjour,
    j’ai installé la 3.0.2, depuis ce jour là, impossible de modifier dans l’espace privé les diverses options style mot-clès, les champs des articles, etc... automatiquement l’espace privé se ferme me disant de régler les cookies sur mon navigateur. J’ai beau accepter les cookies, baisser mon niveau de sécurité, rien n’y fait. Toujours le même bug et toujours impossible de modifier le moindre paramètre...

    une idée sur ce souci et comment l’éviter ?

    merci d’avance

    joint la photo du message

    Répondre à ce message

  • 2

    Bonjour,
    J’ai ce même message sur spip SPIP 3.0.8 :
    Problème de sécurité : register_globals=on ; dans php.ini à corriger.

    J’ai mis mon site en travaux. Est-ce grave doctor ? que faire ?

    Merci.
    S.E.

    • C’est un réglage à modifier dans le fichier php.ini du serveur. L’utilisation de ce réglage register_globals=on; est déconseillée car pose des problèmes de sécurité. Ce n’est pas propre à SPIP mais à PHP, et on a décidé de signaler la présence de ce réglage pour inciter les webmestres à le modifier et améliorer la sécurité du site. Tu peux laisser ton site en fonctionnement car ton site n’est pas devenu soudainement plus dangereux qu’auparavant, mais il faudrait corriger ce réglage de PHP et le passer à register_globals=off;.

    • mais où est php.ini ??

    Répondre à ce message

  • 2

    Bonjour,

    Depuis ma mise a jour de SPIP 2.1 vers SPIP 3.0, je ne peux plus me connecter à l’espace privé !

    Personnes n’a eu se problème ?

    Merci

    • Après avoir renommé mon dossier /squelettes-dist en /squelettes-dist.old j’ai pu entrer dans l’interface privée... Mais je ne sais pas d’où ça vient... Si quelqu’un peu m’éclairer ?

    • je ne peux pas t’éclairer mais Merci, je suis tomber sur le même problème

    Répondre à ce message

  • 14
    Alain Descoubès

    Changement de version SPIP 2.1.13 vers 3.0.1 puis 3.0.2 pour le site d’une association.
    Pas de problème sur le site local mais après installation sur serveur OVH

    1-message d’erreur en version SPIP 3.0.1
    « Site en travaux
    Attention : un problème technique (serveur SQL) empêche l’accès à cette partie du site. Merci de votre compréhension. »

    2- message d’erreur en version SPIP 3.0.2
    « Installation du système de publication...
    ATTENTION !
    L’installation va probablement échouer, ou aboutir à un site non fonctionnel...
    PHP version 4.4.9 insuffisant (minimum = 5.1.0) »

    J’ai posé le problème de la version de PHP sur leur serveur. J’attends la réponse.

    Si vous avez un site chez OVH attendez avant de passer en version SPIP 3.0.2 ou plus que le problème soir résolu.

    • Salut,

      Il suffit d’activer le php5 sur ton hébergement comme indiqué ici : http://guide.ovh.com/Php5ChezOvh

      ++

    • Alain Descoubès

      Merci pour l’information. Cela doit fonctionner puisque je n’ai plus le second message d’erreur.
      Je retrouve maintenant le premier message
      « un problème technique (serveur SQL) empêche l’accès à cette partie du site. »
      et la c’est le trou noir.

    • Alain Descoubès

      Suite de l’installation de SPIP 3.0.2 chez mon hébergeur OVH.

      En supposant que mon problème était lié à la base de données j’ai rechargée cette dernière à partir de la version locale table par table (je ne sais pas faire autrement si la partie privée ne fonctionne pas).
      Conséquence : le site public fonctionne correctement. Pour la partie privée ce n’est pas pareil. J’ai le message
      « Fatal error : Allowed memory size of 10485760 bytes exhausted (tried to allocate 19550 bytes) in /homez.420/comitete/www/ecrire/public/compiler.php on line 662 »
      A savoir que dans le fichier mes_options.php j’ai introduit la ligne suivante
      « ini_set("memory_limit" , "-1") ; »
      Comment puis-je sortir de cette situation ? est-ce encore un ajout dans htaccess ?

    • Alain Descoubès

      Suite de la même installation de SPIP 3.0.2 chez OVH
      Actions
      1 Suppression de la base de données
      2 Reconstruction de la base
      3 Chargement de toutes les tables (38)

      Conséquences
      1 le site public fonctionne parfaitement bien même la partie administrative (gestion des adhérents) réservée à certaines personnes.
      2 il n’y a pas d’accès possible au site privé. Pas de message d’erreur seule une page blanche.
      voir le site http://comite-terrasse.org

      Quelqu’un a-t-il ce problème ?

      Merci de votre attention.

      PS : la version 3.0.2 apporte tellement que je ne désire pas revenir en arrière.

    • Salut, ton site ne semble pas utiliser de plugins (en plus des ceux distribués par défaut). As-tu un fichier mes_fonctions ou mes_options ? Si oui, peux-tu poster le contenu de ces fichiers sur spip.pastebin.fr pour qu’on y jette un oeil ?

    • Alain Descoubès

      Bonjour,

      info 1 : la page blanche est due à un non affichage du message d’erreur « Fatal error : Allowed memory size… »

      j’ai donc apporté la modification dans mon fichier mes_options.php en remplaçant
      « ini_set("memory_limit" , "-1") ; » par
      « ini_set("memory_limit" , "24M") ; » et ça marche

      info 2 : SPIP me déclare en partie privée « Problème de sécurité : register_globals=on ; dans php.ini à corriger. »
      Le site est sur un serveur mutualisé d’OVH. Je n’ai pas accès au fichier ini.php. J’ai donc mis
      « php_flag register_globals off » dans le fichier .htaccess et j’obtiens le message suivant
      « Internal Server Error

      The server encountered an internal error or misconfiguration and was unable to complete your request.

      Please contact the server administrator, postmaster@www.comite-terrasse.org and inform them of the time the error occurred, and anything you might have done that may have caused the error.

      More information about this error may be available in the server error log. »

      extrait du fichier .htaccess actuel
      « # # # # # # # # # # CONFIGURATION PERSONALISEE # # # # # # # # # #
      # Ajout le 16 juin 2012 installation de SPIP 3.0.2 nécessitant >=php 5.1.0+
      SetEnv PHP_VER 5_3
      # ajout le 22 juin 2012 suite message SPIP 3.0.2
      # Problème de sécurité : register_globals=on ; dans php.ini à corriger.
      # php_flag register_globals off ne fonctionne pas
      # # # # # # # # # # FIN CONFIG PERSO # # # # # # # # # # »
      sur serveur local le site fonctionne bien avec « php_flag register_globals off » dans le fichier ini.php de la config php5.
      Comment corriger sur serveur OVH ?

      info 3 : j’ai constaté pour 2 articles une anomalie d’affichage dans la partie privée (voir image jointe). Je ne sais pas à quoi c’est dû.

      voir fichier mes_options posté sur spip.pastebin.fr

      Merci à b_b

    • Salut,

      info 2 : SPIP me déclare en partie privée « Problème de sécurité : register_globals=on ; dans php.ini à corriger. »

      SetEnv REGISTER_GLOBALS 0

      http://guide.ovh.com/ConfigPhp

      Pour ton fichier d’options il faut nous donner l’url du post sur pastebin pour qu’on puisse le retrouver ;)

    • Alain Descoubès

      Sorry, pour le fichier options, l’URL est http://spip.pastebin.fr/23430

      SetEnv REGISTER_GLOBALS 0 dans .htaccess fonctionne parfaitement.

      Merci pour les infos. Il me reste à étudier ce que l’on peut faire avec .htaccess.

      Le site en 3.0.2 est presque parfait pour préparer la saison 2012/2013.

    • Bonjour,

      dernière retouche ?
      le non affichage de certains articles dans la partie privé a été résolu par un ajustement du paramètre memoty_limit que j’ai passé à 32M soit
      ini_set("memory_limit" , "32M") ; dans le fichier d’options

      Conclusion : le passage a la version 3.0.2 de SPIP se résume à :
      1- mise à niveau en local de la version de php par un téléchargement de dernière la version de MAMP
      2- mise en place de la version 3.0.2 en local, installation et contrôle (test)
      3- mise en place de la version 3.0.2 chez l’hébergeur (OVH)
      4- ajustement du paramètre de version PHP dans .htaccess « SetEnv PHP_VER 5_3 »
      5- ajustement du paramètre memory_limit dans les options « ini_set("memory_limit" , "32M") ; »
      6- ajustement du paramètre REGISTER_GLOBALS à off dans .htaccess
      « SetEnv REGISTER_GLOBALS 0 »

      Bonne migration à tous

    • Bonjour,
      Sur un site en SPIP 3.0.5 j’ai un message « Fatal error : Allowed memory size… » sur la page d’accueil de la partie privée (ou une page blanche cela dépend). Apparemment les autres pages de la partie privée ne sont pas affectées.

      J’ai tenté d’ajuster le paramètre memory_limit, comme conseillé ici, mais :
      -  Si je mets ini_set("memory_limit","32M"); dans « mes options » cela ne change rien.
      et
      -  Si je mets php_value memory_limit 32M dans htaccess j’ai une « Internal Server Error ».

      Je suis chez OVH avec PHP 5.4 activé.

      Merci de votre aide.

    • Alain Descoubès

      Abel bonjour,

      l’ajustement du paramètre memory_limit est spécifique du cas. Pour ma part j’ai fait plusieurs essais, 16M puis 24M pour finir à 32M qui a fonctionné.
      Je n’ai pas la compétence pour calculer la valeur de ce paramètre. Si quelqu’un sait merci à lui de nous enseigner la chose ?

      J’espère que tu trouveras vite la solution.

      Cordialement
      Alain

    • Merci pour ta réponse Alain,
      Il me semble en avoir testé plusieurs mais je vais re-tenter plus conciencieusement.

      J’aimerais aussi savoir d’où ça vient, essayer de désactiver tous les plugins ce genre de choses mais je n’ai pas trop de temps en ce moment pour ça. Dès que j’ai 1 heure devant moi je m’y mets ! ^^

      Merci en tout cas.

    • Bonjour,

      En allant sur http://votre_domaine/ecrire/?exec=info apparemment les réglages par défaut de memory_limit sont sur 128.
      J’ai donc essayé avec 16M, 24M, 32M, 64M, 128M et 256M. 
      Malheureusement pour moi, rien n’a changé. :(

    • Bon, si jamais ça peux aider quelqu’un, chez moi, c’est CFG qui faisait planter mon SPIP3.

    Répondre à ce message

  • 5
    Rodolphe

    Bonjour,
    Depuis mon passage à SPIP 3.0.2 je ne peux plus me connecter à l’interface privée. Lorsque je met mon mot de passe il ne le reconnait pas. Je retombe directement sur la page de login... Quelqu’un a une idée ?
    Merci

    • rodolphe

      Pas de réponse ?

      Je suis passé de SPIP 2.1 à 3.0.

      Depuis je n’arrive plus a me connecter !

      Merci

    • vince__

      Bonjour Rodolphe,
      Il est possible que tes fichiers temporaires aient conservé les anciennes données de session de spip 2.1.
      Tu peux essayer de vider le dossier /tmp qui contient ces données.
      Mais avant, bien entendu, il te faut faire une sauvegarde de ce dossier au cas où...
      Tu peux également avant tout ça vider les cookies de ton navigateur pour ne pas conserver les cookies de le version 2.1.
      Je ne sais pas si ça t’aidera mais c’est une piste que j’aurai tenté de mon côté dans le même cas...

    • rodolphe

      Bonjour,
      Tout d’abord, merci pour ta réponse.
      J’ai bien essayé ce que tu m’as dis, mais le problème est toujours là...
      Je dois avouer que je ne sais plus trop quoi faire...

    • Personne n’a de réponse ? Je suis vraiment bloqué...

    • Alain Descoubès

      Bonjour,

      j’ai migré en juin un site sous SPIP 3.0.
      J’ai mentionné dans les messages ci-dessous tous les problèmes que j’ai rencontrés jusqu’à résolution définitive.
      Mon dernier message datant du 25 juin donne en conclusion un résumé des actions menées.
      Cela pourra peut-être t’aider ?

      Alain Descoubès

    Répondre à ce message

  • merlins81

    Je viens de passer de la version 2.1.14 à 3.0 et lorsque je saisie monsite/ecrire pour finaliser l’installation j’ai le message d’erreur suivant
    Parse error : syntax error, unexpected T_STRING, expecting T_OLD_FUNCTION or T_FUNCTION or T_VAR or ’’ in /homez.131/larroquep/www/ecrire/public/interfaces.php on line 51
    Merci pour votre aide

    Répondre à ce message

  • 3

    Bonjour,
    Depuis la mise à jour vers 3 0.2, les fichiers joints ne s’affichent pas sous les articles dans l’espace publique, par contre ils sont bien présents dans l’espace privé. Sous Wamp en local ou chez mon hébergeur informaniach c’est pareil.
    Merci pour vos suggestions.

    • Re Bonjour,
      J’utilise l’excellent squelette The Morning After que j’ai un peu adapté, voici le code qui affiche les protfolio,

      [(#REM) Gestion du portfolio et des documents
      					Le critere {env} permet de passer d'autres arguments de la page
      					par exemple l'id_document choisi pour un affichage complet.
      				]
      				[(#INCLURE{fond=inc-documents}{id_article}{env})]

      Y a t il eu du changement dans la version 3 de Spip ?

      Remerciements.

    • Bonjour,
      Je me reponds : j’ai installé le plugin Zpip dist v1, et j’ai enlevé le env dans le sommaire.html :

      [(#INCLURE{fond=inclure/documents}{id_article})]
      et ça marche.
      J’avais les boutons Agrandir/Réduire/Imprimer texte dans les articles qui ne fonctionnent plus sur la version 3, j’ai essayé d’installer le plugin boutontexte sans succès.
      J’avoue que je suis perdu avec la nouvelle organisation des squelettes, je ne sais plus ou il faut faire les modifications, il y a les inclure dans zpip les inc, body dans le thème...

    • Visiteur

      Les plugins boutontexte-v2 pour Agrandir/Réduire/Tout en texte et Nuage, compatibles spip 3 sont ici :

      http://files.spip.org/spip-zone/

      Il suffit de les décompresser et de les charger sur votre plugins/auto.

      Il me manque le bouton Imprimer Article.

      Merci vivement à tous ceux qui travaillent pour nous.

    Répondre à ce message

  • Le changelog n’indique rien pour 2.1.14 -> 2.1.15
    Est-ce normal ?

    Répondre à ce message

  • 1

    Les services dans apache sont limité chez Online. Du coup il va falloir que tu mette à jours ton Spip en version 3.2 en ftp directement...

    • Il y a peu ça fonctionnait encore avec Spip_loader mais ce n’est pas grave je vais faire la mise à jour par FTP.

      Merci

    Répondre à ce message

  • 1

    Bonjour Eric,

    Quel est la configuration de ton serveur PHP ?
    Tu es chez qui ?

    .... :)

    • Bonjour Squirrel

      Je suis chez Online.

      Pour la configuration voila ce que j’ai trouvé :

      Apache/2.2.14 (Ubuntu)
      Version du client MySQL : 5.1.41

      C’est en PHP 5

      Faut il d’autres infos ?

      Merci

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom