Annonce de sécurité pour SPIP 1.5, 1.6 etc.

fil · Mars 15, 2004, 7:44

Bonsoir,

-= RÉSUMÉ =-

Si votre site fonctionne encore sous une ancienne version de SPIP (1.5.2 ou
1.6, ou une version encore plus vieille), et que les forums sont activés,
supprimez de toute urgence le fichier inc-forum.php3 à la racine et lisez ce
qui suit.

* * *

-= ANNONCE IMPORTANTE =-

un trou de sécurité important figurait dans les versions anciennes de SPIP.
La version 1.7 corrige le problème, mais toutes les versions précédentes (y
compris 1.5.2, 1.6 et certaines versions de développement de la 1.7) sont
touchées.

** Ce problème affecte tous les sites ayant activé les forums **

Ce problème ouvre potentiellement un "trou" permettant à un pirate de
détruire entièrement votre site (fichiers, images, documents et base de
données), voire, sur certains systèmes, de détruire aussi le logiciel du
serveur et le contenu du disque dur ; certains prétendent même qu'on peut
par ce biais mettre le feu à votre maison. Bref, c'est assez grave.

Si vous avez encore en ligne une version ancienne, il est donc plus que
temps de procéder à une mise à jour en version 1.7.

Pour éliminer le problème rapidement, vous pouvez simplement supprimer le
désactiver tous les forums en supprimant le fichier inc-forum.php3 à la
racine du site, en attendant de faire la mise à jour.

* * *

-= MISE À JOUR =-

Vous pouvez effectuer la mise à jour, soit avec le spip_loader.php3, soit en
téléchargeant SPIP 1.7 à l'endroit habituel :
http://www.spip.net/spip-dev/DISTRIB/

Si vous n'avez pas besoin du multilinguisme, vous pouvez télécharger une
version exclusivement française à l'adresse :
http://www.spip.net/spip-dev/DISTRIB/monolingue/

-- Fil

Joel_HATSCH2 · Mars 15, 2004, 9:23

On Mon, 15 Mar 2004 20:44:20 +0100
Fil <fil@rezo.net> wrote:

Bonsoir,

-= RÉSUMÉ =-

Si votre site fonctionne encore sous une ancienne version de SPIP
(1.5.2 ou 1.6, ou une version encore plus vieille), et que les forums
sont activés, supprimez de toute urgence le fichier inc-forum.php3 à
la racine et lisez ce qui suit.

[...]

Vous pouvez effectuer la mise à jour, soit avec le spip_loader.php3,
soit en téléchargeant SPIP 1.7 à l'endroit habituel :
http://www.spip.net/spip-dev/DISTRIB/

Si vous n'avez pas besoin du multilinguisme, vous pouvez télécharger
une version exclusivement française à l'adresse :
http://www.spip.net/spip-dev/DISTRIB/monolingue/

Salut Fil,

on discutait ici depuis quelques temps de passer de 1.6 en 1.7, mais vu
les messages qui passent avec des soucis avec le moteur de recherche,
etc etc... (corrige au fur et a mesure dans le CVS, mais indisponibles
dans la 1.7 stable), on a prefere encore attendre un peu.
La, mine de rien c'est pas top : soit la 1.7 avec ses bugs, soit la 1.6
avec sa faille (OUI il nous faut les forums !!).

D'ou la question : y'a moyen de back-patcher inf_forum.php3 de la 1.7
vers la 1.6, ou du moins de combler facilement le trou ? Ou alors c'est
justement a ca que sert la version monolingue ?

Joel

PS : et oui, je sais que vous ne faites pas de SAV pour les anciennes
versions. Mais bon, 2-3 indications ca fait pas de mal, hein ? le reste
je peux faire moi-meme.

Marc_Deroover1 · Mars 16, 2004, 2:43

Bonjour,

Cette faille, c'est une très mauvaise nouvelle. J'ai installé SPIP pour
plusieur associations qui ont pas trop d'argent mais beaucoup de choses à
dire. Les mises à jour, ça prend du temps parce que j'ai modifié les styles
de SPIP (surtout habillage.css). De plus, le moteur de recherche est
absolument nécessaire sur un de ces sites, et il ne fonctionne pas bien dans
1.7.

Je sais que vous ne pouvez pas faire de support pour les anciennes versions,
et je comprend cela. Mais est-ce qu'on ne peut pas avoir plus d'info sur le
problème, par exemple:

* Est-ce qu'il y a moyen de simplement modifier inc-forums.php3, sans devoir
faire une mise à jour complète ? Est-ce que cela pourrait suffire ?

* Est-ce que le trou existe quand on ne permet pas les abonnements, mais
seulement d'ajouter des commentaires à un article ?

* Est-ce que le problème vient du "document.write", et / où d'ailleurs ?

Je pense que c'est important, il doit y avoir plein de gens qui ne peuvent
pas faire la mise à jour de leur site.

Merci d'avance pour toute info,
Marc Deroover.

"Fil" <fil@rezo.net> wrote in message
news:20040315194420.GC12912@rezo.net...

Bonsoir,

-= RÉSUMÉ =-

Si votre site fonctionne encore sous une ancienne version de SPIP (1.5.2 ou
1.6, ou une version encore plus vieille), et que les forums sont activés,
supprimez de toute urgence le fichier inc-forum.php3 à la racine et lisez ce
qui suit.

* * *

-= ANNONCE IMPORTANTE =-

un trou de sécurité important figurait dans les versions anciennes de SPIP.
La version 1.7 corrige le problème, mais toutes les versions précédentes (y
compris 1.5.2, 1.6 et certaines versions de développement de la 1.7) sont
touchées.

** Ce problème affecte tous les sites ayant activé les forums **

Ce problème ouvre potentiellement un "trou" permettant à un pirate de
détruire entièrement votre site (fichiers, images, documents et base de
données), voire, sur certains systèmes, de détruire aussi le logiciel du
serveur et le contenu du disque dur ; certains prétendent même qu'on peut
par ce biais mettre le feu à votre maison. Bref, c'est assez grave.

Si vous avez encore en ligne une version ancienne, il est donc plus que
temps de procéder à une mise à jour en version 1.7.

Pour éliminer le problème rapidement, vous pouvez simplement supprimer le
désactiver tous les forums en supprimant le fichier inc-forum.php3 à la
racine du site, en attendant de faire la mise à jour.

* * *

-= MISE À JOUR =-

Vous pouvez effectuer la mise à jour, soit avec le spip_loader.php3, soit en
téléchargeant SPIP 1.7 à l'endroit habituel :
http://www.spip.net/spip-dev/DISTRIB/

Si vous n'avez pas besoin du multilinguisme, vous pouvez télécharger une
version exclusivement française à l'adresse :
http://www.spip.net/spip-dev/DISTRIB/monolingue/

-- Fil