Nous remercions Arnault Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.
Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un
email à spip-team@rezo.net
N’hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l’aide sur cette migration :
- liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- forum : http://forum.spip.org/
- irc : http://spip.net/irc
Comment mettre à jour ?
Comme d’habitude, plusieurs possibilités pour la mise à jour :
- L’écran de sécurité : si vous n’avez pas le temps de faire tout de
suite une mise à jour complète, vous pouvez sécuriser en deux minutes
votre site en téléchargeant la version 0.9.7 de l’écran de sécurité,
et en la déposant dans votre répertoire
config/.Documentation : cf. http://www.spip.net/fr_article4200.html
Téléchargement : http://zone.spip.org/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt - spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.8, et cela lancera la mise à jour de votre site vers spip 2.1.8
- par FTP : SPIP 2.1.8 est disponible à l’adresse
- par SVN : si vous êtes dans la branche 2.1
svn://trac.rezo.net/spip/branches/spip-2.1
faites simplement svn up.
La version 2.1.8 est aussi disponible sous la branchesvn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag svn://trac.rezo.net/spip/tags/spip-2.1.8/
Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. Elle est disponible par FTP sur files.spip.org/archives
Toutes versions : L’écran de sécurité est valable pour toutes les versions de spip.
P.S : et bien sûr pour finir sur une petite note humoristique ... si jamais vous
vous posez la question de savoir où est passée la 2.1.7 la réponse est :
« Un chat s’est baladé sur le clavier et a appuyé sur le bouton de génération des paquets SPIP par mégarde »
Vos commentaires
# Le 25 février 2011 à 11:19, par ?
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
J’ai le même problème que Luc avec prive...
Enas
Répondre à ce message
# Le 25 février 2011 à 11:00, par ?
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Bonjour.
Je viens d’installer la dernière version de spip.
J’ai un seul souci. J’ai ce message :
Fatal error : Call to undefined function compacte_css() in /homez.194/omathima/www/ecrire/public/composer.php(49) : eval()’d code on line 87
quand je veux me connecter. Quel est le problème ?
Merci d’avance.
Le site.
Enas
Répondre à ce message
# Le 23 février 2011 à 16:03, par luc
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
J’ai fait la mise à jour.
Maintenant si par exemple je tape dans un navigateur : www.monsite.net/prive
que vois-je alors ? tous les fichiers et sous dossiers du dossier privé...
Est-ce normal ?
# Le 23 février 2011 à 16:06, par luc
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
ou d’ailleurs pour tout autre sous dossier ou fichier...
# Le 23 février 2011 à 16:08, par Maïeul
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
vérifie qu’il y a bien le fichier .htaccess dans ces dossiers (avec FTP) et que le .htaccess est bien activé chez ton hébergeyr
# Le 23 février 2011 à 16:20, par luc
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Merci pour ta réponse rapide Maïeul
le .htaccess est à la racine du site
comment s’avoir s’il est bien activé chez l’hébergeur ?
# Le 23 février 2011 à 16:22, par Maïeul
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
il devrait y en avoir dans chacun de ces dossiers...
# Le 23 février 2011 à 16:24, par luc
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Euh... non ! (j’ai bien coché l’affichage des dossiers cachés dans mon FTP)
# Le 23 février 2011 à 16:29, par luc
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
.htaccess est en revanche dans le sous dossier tmp et effectivement on ne peut y avoir access
(www.monsite.net/tmp)...
faut-il donc copier le fichier dans les dossiers qui ne l’ont pas ?
# Le 23 février 2011 à 16:35, par Maïeul
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
en fait le seul dossier auquel il faut interdire l’accés c’est tmp et config.
Je t’ai répondu trop vite. Il faut que le navigateur puisse accéder aux autres dossiers.
Si tu veux pas qu’ils soient listés, met un fichier index.html
# Le 23 février 2011 à 17:23, par luc
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
tmp et config ont un fichier .htaccess
ne connaissant pas très bien spip, peux-tu préciser au sujet de ce fichier index.html ?
dois-je le configurer ?
# Le 23 février 2011 à 17:43, par Maïeul
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
bah ce n’est pas propre à SPIP.
en gros le fichier .htaccess interdit d’accéder à ces repertoires, et c’est important pour des raisons de sécurité.
Le repertoire /prive lui doit être accesible par http.
Mais si tu ne veux pas qu’en se rendant sur /prive on voit l’ensemble du contenu (mais à vrai dire ce n’est pas très grave qu’on le voit) tu peux mettre un fichier index.html vide.
# Le 23 février 2011 à 17:48, par luc
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
OK merci !
Répondre à ce message
# Le 16 février 2011 à 16:17, par Meuh
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Souci avec l’écran de sécurité
L’écran de sécurité bloque l’ajout de messages dans l’espace privé (du moins sous un article, pas essayé le reste).
En ajoutant un message, la roue ajax continue à tourner mais le message n’est jamais accepté. Si on désactive le javascript du navigateur, on tombe sur une page
http://monsite.tld/ecrire/?exec=poster_forum_prive(Error 403 : Forbidden) disantcomme quand on utilise l’écran de sécurité.
D’ailleurs, renommer ce dernier arrange l’affaire.
# Le 16 février 2011 à 16:21, par Meuh
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
J’ai oublié de signaler que j’utilise SPIP 2.1.8 et l’écran 1.0.0.
Répondre à ce message
# Le 19 janvier 2011 à 18:24, par Keev
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Bonjour à tous,
Je viens de faire la mise à jour par spip_loader, et après un temps assez bref, il m’a indiqué que « spip ne peut être installer car un site spip existe déjà » (ou qqch du même ordre). Quand je regarde la version du spip, je suis bien en 2.1.8. A-t-il seulement changé le numéro de version ou a-t-il bien fait les changements ?
merci d’avance pour votre réponse.
Keev
# Le 4 février 2011 à 11:35, par Eric
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Bonjour,
J’ai eu le même message.
Comment savoir si la version 2.1.8 est bien installée ?
Merci
# Le 4 février 2011 à 13:12, par Simon
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
C’est bon, j’ai eu le même message et vu les changement, vous n’avait pas de soucis a vous faire.
# Le 15 février 2011 à 13:03, par Keev
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Je suis parti de ce principe, ça a l’air d’être ok...
Répondre à ce message
# Le 24 janvier 2011 à 18:55, par Thierry Kauffmann
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Bonjour, j’ai installé l’écran de sécurité et j’ai ce message là dans les logs d’apache :
PHP Notice: Undefined variable: REQUEST_URI in /usr/share/php5/ecran_securite.php on line 64N’y aurait-il pas une erreur de syntaxe dans le code de l’écran sécurité ?
Voici la ligne en question :
if (preg_match(',^(.*/)?spip_acces_doc\.,', (string)$REQUEST_URI))Ne s’agirait-il pas plutôt de $_SERVER["REQUEST_URI"] ?
# Le 28 janvier 2011 à 15:43, par Shnoulle
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Salut,
J’ai le même problème, j’ai appliqué la correction, cela règle le log, mais est ce encore sécurisé :).
# Le 28 janvier 2011 à 16:59, par phracktale
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Ce n’est pas une erreur juste une indication qu’une variable n’a pas été déclarée, ce qui n’est pas formellement indispensable en PHP.
il faut changer dans le php.ini la valeur de error_reporting à E_ALL & E_DEPRECATED si on est en envirronement de prod ou E_ALL & E_NOTICE sinon si on ne veut pas les notices.
# Le 29 janvier 2011 à 14:12, par Shnoulle
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Il n’en reste pas moins que $REQUEST_URI ne semble pas déclaré :)
# Le 7 février 2011 à 21:52, par Fil
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Corrigé en http://zone.spip.org/trac/spip-zone/changeset/44288
& on en profite pour donner la version 1.0.0 première release « stable » de l’écran
(après 0.9.9 je n’avais guère le choix :-) )
# Le 8 février 2011 à 10:24, par Shnoulle
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Merci , trop fort !!!
# Le 15 février 2011 à 09:53, par Ibb
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
@Fil, 0.9.10, ça marche. ;-)
Répondre à ce message
# Le 12 février 2011 à 12:01, par Tyte
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Bonjour à tous
je vens de migrer de 2.1.6 vers 2.1.8.le site fonctionne bien sauf les mots de passe inserrer dans les articles ne sont plus pris en compte . et j’ai des erreur dans le squelettes au niveau des boulces.
Quelqu’un peut me venir en aide !!!!!!!!!!!!!!!!!!!!
Répondre à ce message
# Le 12 février 2011 à 08:03, par izno
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Bonjour, avec cette version de spip (installée d’emblée- sans mise à jour donc) j’ai un problème avec les plugins, qui ne sont pas reconnus si je les dézip et les passe par FTP, encore moins via un lien, et voilà l’erreur affichée :
Warning : array_merge() [function.array-merge] : Argument #1 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
Warning : array_merge() [function.array-merge] : Argument #2 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
Merci par avance pour votre aide
Répondre à ce message
# Le 7 février 2011 à 18:26, par François Daniel Giezendanner
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Bonjour,
Impression PDF d’un article contenant un formulaire :
Lorsque j’imprime en PDF avec le plugin « article_pdf_2_0 » et la version SPIP 2.1.8 un article contenant un formulaire j’obtiens, au lieu du formulaire, des lignes de code du formulaire dans le pdf qui, injectées dans ce message du forum, sont interprétée correctement dans le messages :
Je ne sais si ’erreur provient du plugin « article_pdf_2_0 » ou de la nouvelle version SPIP 2.1.8 !
Avez-vous une idée de l’erreur ?
cordialement
FDG
Répondre à ce message
# Le 5 février 2011 à 09:28, par nestor
En réponse à : SPIP 2.1.8 corrige une importante faille de sécurité
Bonjour,
Désireux de limiter les problèmes de compatibilité avec les plugins, j’ai choisi de faire la mise à jour SPIP-2.0.10 vers SPIP-2.0.13 (car comme il est écrit ci-dessus : « Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. »)
Or après l’upload FTP et en dépit d’avoir vidé le cache, je n’obtient aucune réaction lors de ma connexion dans l’espace privé. Le pied de page de l’espace privé indique toujours : SPIP 2.0.10 [14698].
Comment savoir si la mise à jour a fonctionné ?
Merci pour votre aide !
Répondre à ce message