Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.10 et SPIP 3.2.4

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant l’exécution de code arbitraire par les visiteurs identifiés.

Elle touche les versions SPIP 3.1 inférieure à la 3.1.10. et les versions SPIP 3.2. inférieures à la version 3.2.4 et impacte tous les sites utilisant ces versions.
Les versions SPIP 3.0 et antérieures ne sont pas concernées par ce problème.

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Guillaume Fahrner pour l’identification et le signalement de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.11 bloque les exploitations possibles de la faille.
https://www.spip.net/fr_article4200.html

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

— L’équipe

Annonce complète et détails
https://blog.spip.net/834

Hello Ben j’ai vraiment du mal a comprendre

si je lis

les versions SPIP 3.2. inférieures à la version 3.2.4

et que je regarde mon back office, j’ai (et on me propose pas de maj)

donc étant inferieur a 3.2.4 je suis impacté ? , c’est bien ça

Le 08/04/2019 à 16:28, Ben. a écrit :

Bonjour,
[...]
La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Bonjour et merci pour l'annonce,cependant https://zone.spip.net/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt retourne une erreur Erreur survenue dans le 'navigation contributor' "BrowserModule"

Le 08/04/2019 à 20:04, 6ril a écrit :

Le 08/04/2019 à 16:28, Ben. a écrit :

Bonjour,
[...]
La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Bonjour et merci pour l'annonce,cependant https://zone.spip.net/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt retourne une erreur Erreur survenue dans le 'navigation contributor' "BrowserModule"

c'est toute la zone qui est en carafe

Le 08/04/2019 à 20:09, 6ril a écrit :

c'est toute la zone qui est en carafe

Non, c'est le trac.

Le Trac étant le logiciel qui permet d'avoir une vue depuis le web sur un serveur SVN.

Bref, https://zone.spip.net/trac/ ne marche pas en ce moment (l'admin est au courant) mais la zone en tant que serveur SVN fonctionne bien : svn up, svn log, etc...

--
nicod_

Le 09/04/2019 à 00:58, nicod_ a écrit :

Le 08/04/2019 à 20:09, 6ril a écrit :

c'est toute la zone qui est en carafe

Non, c'est le trac.

Le Trac étant le logiciel qui permet d'avoir une vue depuis le web sur un serveur SVN.

Bref, https://zone.spip.net/trac/ ne marche pas en ce moment (l'admin est au courant) mais la zone en tant que serveur SVN fonctionne bien : svn up, svn log, etc...

OK, vu, merci pour la précision.

Bonjour à toutes et tous,

Je poste cela ici, désolé si ce n’est pas le lieu …

La dernière mise à jour du plugin « Saisies pour formulaires » fait planter « Formidable ».

Je ne saurai vous dire d’où vient le problème exactement, mais l’envoi ne se fait plus.

Dans mon jargon, ça pédale dans la semoule ! Je suis repassé à la version 3.18.5.

Bonne journée les spipeuses et spipeurs.

++

Aurélien.

De : Ben. [mailto:ben@rezo.net]
Envoyé : lundi 8 avril 2019 18:28
À : spip@rezo.net
Objet : [Spip] Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.10 et SPIP 3.2.4

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant l’exécution de code arbitraire par les visiteurs identifiés.

Elle touche les versions SPIP 3.1 inférieure à la 3.1.10. et les versions SPIP 3.2. inférieures à la version 3.2.4 et impacte tous les sites utilisant ces versions.

Les versions SPIP 3.0 et antérieures ne sont pas concernées par ce problème.

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Guillaume Fahrner pour l’identification et le signalement de la faille.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.11 bloque les exploitations possibles de la faille.

https://www.spip.net/fr_article4200.html

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

— L’équipe

Annonce complète et détails

https://blog.spip.net/834

Aurélien CROÜS a écrit le 09/04/2019 à 08:28 :

Bonjour à toutes et tous,

Je poste cela ici, désolé si ce n’est pas le lieu …

La dernière mise à jour du plugin « Saisies pour formulaires » fait planter « Formidable ».

Je ne saurai vous dire d’où vient le problème exactement, mais l’envoi ne se fait plus.

Dans mon jargon, ça pédale dans la semoule ! Je suis repassé à la version 3.18.5.

Je viens de tester avec SPIP 3.2.4 + Saisie 3.18.8 + Formidable 3.36.6 et
« Chez moi ça marche™ » (PHP Version 7.0.33-0+deb9u3)

J'ai bien reçu le mail pour le destinataire supplémentaire et l'accusé de remplissage.

--
RealET

Au secours James,

http://james.at.rezo.net/svn_spip/svn_spip.txt

n'est pas à jour !

:-)k++

On 08.04.19 16:28, Ben. wrote:

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant
l’exécution de code arbitraire par les visiteurs identifiés.

Elle touche les versions SPIP 3.1 inférieure à la 3.1.10. et les versions
SPIP 3.2. inférieures à la version 3.2.4 et impacte tous les sites
utilisant ces versions.
Les versions SPIP 3.0 et antérieures ne sont pas concernées par ce problème.

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Guillaume Fahrner pour l’identification et le signalement
de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en
version 1.3.11 bloque les exploitations possibles de la faille.
Écran de sécurité - SPIP

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne
vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

— L’équipe

*Annonce complète et détails*
Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.10 et SPIP 3.2.4 - SPIP Blog

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

done !

merci James !

On 16.04.19 10:22, James wrote:

done !

Le mar. 16 avr. 2019 à 09:21, klaus++ <klaus@spip.de> a écrit :

Au secours James,

http://james.at.rezo.net/svn_spip/svn_spip.txt

n'est pas à jour !

:-)k++

On 08.04.19 16:28, Ben. wrote:

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant
l’exécution de code arbitraire par les visiteurs identifiés.

Elle touche les versions SPIP 3.1 inférieure à la 3.1.10. et les

versions

SPIP 3.2. inférieures à la version 3.2.4 et impacte tous les sites
utilisant ces versions.
Les versions SPIP 3.0 et antérieures ne sont pas concernées par ce

problème.

Il est impératif de mettre à jour votre site SPIP dès que possible.

L’équipe remercie Guillaume Fahrner pour l’identification et le

signalement

de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en
version 1.3.11 bloque les exploitations possibles de la faille.
Écran de sécurité - SPIP

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne
vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

— L’équipe

*Annonce complète et détails*
Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.10 et SPIP 3.2.4 - SPIP Blog

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc