Annonce de sécurité: SPIP 1.5.2

63438612493668b99328 · Février 27, 2003, 10:52

Bonjour à tous,

Un certain nombre de trous de sécurité ont été découverts
dans toutes les versions récentes de SPIP. Ils concernent :
- le formulaire de login public et privé
- le calcul des pages publiques
- les préférences avancées définies dans inc_version.php3

En conséquence, une version 1.5.2 corrigeant ces failles
est sortie. Nous vous recommandons vivement de mettre à
jour votre version de SPIP. Utilisez pour cela la procédure
habituelle (installation automatique ou manuelle depuis
http://rezo.net/spip-dev/).

D'autre part cette version corrige une incompatibilité
connue avec Apache 2 (due à un bug d'Apache 2 et PHP).

En cas de problèmes imprévus avec cette version, n'hésitez
pas à vous exprimer sur la liste des utilisateurs
(spip@rezo.net).

Nota Bene : les webmestres ayant installé une version de
développement (1.6) sont quant à eux invités à passer
à la dernière version (1.6a5), qui corrige également
les problèmes suscités.

Mille mercis à Florent Jugla, amateur de gruyère émérite,
qui a découvert les trous.

A bientôt

l'équipe de SPIP.

11660591f78904c109d0 · Février 28, 2003, 7:56

j'utilise depuis longtemps la 1.4 dans laquelle j'ai ajouté plusieurs
fonctions dans les pages PHP.
Est ce que je suis concerné par ces trous ?
Si oui, ou pourrais-je trouver les bugfix pour faire les corrections sans
mettre à jour toute l'application .

cordialement
Marouen

----- Original Message -----
From: "Antoine" <antoine@rezo.net>
To: <spip@rezo.net>; <spip-ann@rezo.net>
Sent: Thursday, February 27, 2003 11:52 PM
Subject: [Spip-Ann] Annonce de sécurité: SPIP 1.5.2

Bonjour à tous,

Un certain nombre de trous de sécurité ont été découverts
dans toutes les versions récentes de SPIP. Ils concernent :
- le formulaire de login public et privé
- le calcul des pages publiques
- les préférences avancées définies dans inc_version.php3

En conséquence, une version 1.5.2 corrigeant ces failles
est sortie. Nous vous recommandons vivement de mettre à
jour votre version de SPIP. Utilisez pour cela la procédure
habituelle (installation automatique ou manuelle depuis
http://rezo.net/spip-dev/).

D'autre part cette version corrige une incompatibilité
connue avec Apache 2 (due à un bug d'Apache 2 et PHP).

En cas de problèmes imprévus avec cette version, n'hésitez
pas à vous exprimer sur la liste des utilisateurs
(spip@rezo.net).

Nota Bene : les webmestres ayant installé une version de
développement (1.6) sont quant à eux invités à passer
à la dernière version (1.6a5), qui corrige également
les problèmes suscités.

Mille mercis à Florent Jugla, amateur de gruyère émérite,
qui a découvert les trous.

A bientôt

l'équipe de SPIP.

_______________________________________________
spip-ann@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-ann

Aurelien_Levy1 · Février 28, 2003, 1:06

Il n y a eut une mise à jour que du repertoire /ecrire et aucune modif sur
la base?
parcqu je n'ai redéposé que le repertoire /ecrire et lorsque je me suis
connecté il ne m'a rien demandé.
Par contre la mention spip 1.5.2 figure bien en bas de la page

Sa.Cha1 · Février 28, 2003, 2:12

Salut,
Aurelien Levy, de ses doigts agiles, nous tapota ce qui suit :

Il n y a eut une mise à jour que du repertoire /ecrire et aucune modif sur
la base?
parcqu je n'ai redéposé que le repertoire /ecrire et lorsque je me suis
connecté il ne m'a rien demandé.
Par contre la mention spip 1.5.2 figure bien en bas de la page

Si je comprends bien, il suffirait de mettre à jour le répertoire /ecrire/ pour bénéficier des vertus de cette mise à jour ?

Je n'ai pas du tout envie de recommencer toutes les personnalisations que j'ai faites dans les squelettes.

--
Bien amicalement,
Sa.Cha.
« Qui voit le ciel dans l'eau voit les poissons dans les arbres. »
(Proverbe chinois).

63438612493668b99328 · Février 28, 2003, 2:20

Si je comprends bien, il suffirait de mettre Ã jour le rÃ©pertoire /ecrire/
pour bÃ©nÃ©ficier des vertus de cette mise Ã jour ?

Non, il faut prendre le rÃ©pertoire racine aussi. Il y a cependant peu
de fichiers modifiÃ©s par rapport Ã la 1.5.1.

Je n'ai pas du tout envie de recommencer toutes les personnalisations que
j'ai faites dans les squelettes.

Si tu as pris soin de renommer tes squelettes en article.html au lieu de
article-dist.html, Ã§a ne posera pas de problÃ¨me. Sinon, il faut que tu
fasses attention Ã ne pas Ã©craser les .html.

a+

Antoine.

Aurelien_Levy1 · Février 28, 2003, 6:45

nan moi j ai juste mis à jour /ecrire/ parcque j'utilise mes propres
squelettes donc mettres à jour ceux par defaut (fichier html et php en
racine ) ne me sert à rien du moins je pense

Love_Saint_Up · Mars 1, 2003, 12:00

mais ya aussi plein de fichier php dans le répertoire racine !?!

Aurelien Levy wrote:

nan moi j ai juste mis à jour /ecrire/ parcque j'utilise mes propres
squelettes donc mettres à jour ceux par defaut (fichier html et php en
racine ) ne me sert à rien du moins je pense

Sa.Cha1 · Mars 1, 2003, 12:10

Salut,
Fil, de ses doigts agiles, nous tapota ce qui suit :

Sauf qu'il n'y a pas que les squelettes dans l'espace public, mais aussi des
fichiers importants de spip ... dont un ou deux ont été modifiés entre la
1.5.1 et la 1.52 pour raisons de sécurité. (spip_cookie.php3 notamment)

Ne pourrait-on pas avoir tout simplement la liste des fichiers modifiés entre la 1.5.1 et la 1.5.2 ?

--
Bien amicalement,
Sa.Cha.
« Rien de grand ne s'est accompli dans le monde sans passion. »
(Friedrich Hegel).