Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la modification arbitraire de contenus publiés, par des visiteurs non-identifiés.

Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en version 3.2.5 ou 3.1.11.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille.
https://www.spip.net/fr_article4200.html

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité moins graves.
L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent et Christophe Laffont pour leurs signalements.

Annonce complète et détails
https://blog.spip.net/836

Télécharger SPIP
https://www.spip.net/fr_download

— L’équipe

Le 16/09/2019 à 15:41, JLuc a écrit :

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la
modification arbitraire de contenus publiés, par des visiteurs
non-identifiés.

Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en
version 3.2.5 ou 3.1.11.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en
version 1.3.12 bloque les exploitations possibles de la faille.
Écran de sécurité - SPIP

Corrigé, merci.

--

Ysabeau
Signature en travaux

C'est fait.

Merci.

Yannick Boschel
yannick.boschel@gmail.com

Ce message est protégé par les règles relatives au secret des correspondances. Il est donc établi à destination exclusive de son destinataire. Celui-ci peut donc contenir des informations confidentielles. La divulgation de ces informations est à ce titre rigoureusement interdite. Si vous avez reçu ce message par erreur, merci de le renvoyer à l'expéditeur dont l'adresse e-mail figure ci-dessus et de détruire le message ainsi que toute pièce jointe.

This message is protected by the secrecy of correspondence rules. Therefore, this message is intended solely for the attention of the addressee. This message may contain privileged or confidential information, as such the disclosure of these informations is strictly forbidden. If, by mistake, you have received this message, please return this message to the addressser whose e-mail address is written above and destroy this message and all files attached.

-----Message d'origine-----
De : JLuc <jluc@no-log.org>
Envoyé : lundi 16 septembre 2019 15:41
À : spip@rezo.net
Objet : [Spip] Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la modification arbitraire de contenus publiés, par des visiteurs non-identifiés.

Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en version 3.2.5 ou 3.1.11.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille.
https://www.spip.net/fr_article4200.html

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité moins graves.
L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent et Christophe Laffont pour leurs signalements.

Annonce complète et détails
https://blog.spip.net/836

Télécharger SPIP
https://www.spip.net/fr_download

— L’équipe

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Bonjour,
Merci bien,
mais en local sous ubuntu 18.4 même après la mise à jour depuis spip_loader j'ai toujours :

La mise à jour 3.2.4 de SPIP est disponible
SPIP 3.2.1 [24404] est un logiciel libre distribué sous licence GPL.
+ écran de sécurité 1.3.12

Comment savoir si en fait spip tourne néanmoins sous 3.2.5 si non comment forcer cette mise à niveau.
Merci bien
Alain

Le 16/09/2019 à 15:41, JLuc a écrit :

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la modification arbitraire de contenus publiés, par des visiteurs non-identifiés.

Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en version 3.2.5 ou 3.1.11.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille.
Écran de sécurité - SPIP

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité moins graves.
L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent et Christophe Laffont pour leurs signalements.

Annonce complète et détails
Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11 - SPIP Blog

Télécharger SPIP
Télécharger SPIP - SPIP

— L’équipe

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Parfait, mis à jour d'une dizaine de sites avec spip_loader.php O.K.
Malheureusement spip_svn_loader n'est pas encore à jour.
Merci pour l'avertissement et les corrections.
:-)k++

On 16.09.19 15:41, JLuc wrote:

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la
modification arbitraire de contenus publiés, par des visiteurs
non-identifiés.

Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en
version 3.2.5 ou 3.1.11.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en
version 1.3.12 bloque les exploitations possibles de la faille.
Écran de sécurité - SPIP

La mise à jour de l’écran de sécurité reste une mesure transitoire qui
ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité
moins graves.
L’équipe remercie Sylvain Lefevre pour l’identification et le
signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent
et Christophe Laffont pour leurs signalements.

Annonce complète et détails
Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11 - SPIP Blog

Télécharger SPIP
Télécharger SPIP - SPIP

— L’équipe

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Le 16/09/2019 à 20:45, maison a écrit :

Bonjour, Merci bien,
mais en local sous ubuntu 18.4 même après la mise à jour depuis spip_loader j'ai toujours :

La mise à jour 3.2.4 de SPIP est disponible
SPIP 3.2.1 [24404] est un logiciel libre distribué sous licence GPL.
+ écran de sécurité 1.3.12

Est-ce que ton spip_loader est à jour ?

Comment savoir si en fait spip tourne néanmoins sous 3.2.5

La version est indiquée en bas des pages de /ecrire

JL

Le 16/09/2019 à 15:41, JLuc a écrit :

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la modification arbitraire de contenus publiés, par des visiteurs non-identifiés.

Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en version 3.2.5 ou 3.1.11.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille.
Écran de sécurité - SPIP

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité moins graves.
L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent et Christophe Laffont pour leurs signalements.

Annonce complète et détails
Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11 - SPIP Blog

Télécharger SPIP
Télécharger SPIP - SPIP

— L’équipe

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Oui, cache vidé, spip_loader dernière version et en pied de de /ecrire toujours les mêmes informations :

  La mise à jour 3.2.4 de SPIP est disponible
  SPIP 3.2.1 [24404] est un logiciel libre distribué sous licence GPL.
  + écran de sécurité 1.3.12

Ma question est d'arriver à trouver ce qui coince. Soit la mise à jour qui ne se fait pas soit l'information meta qui n'évolue pas bien que la mise à jour soit ok ?

Affaire toujours à suivre.

Le 16/09/2019 à 22:51, JLuc a écrit :

Le 16/09/2019 à 20:45, maison a écrit :

Bonjour, Merci bien,
mais en local sous ubuntu 18.4 même après la mise à jour depuis spip_loader j'ai toujours :

La mise à jour 3.2.4 de SPIP est disponible
SPIP 3.2.1 [24404] est un logiciel libre distribué sous licence GPL.
+ écran de sécurité 1.3.12

Est-ce que ton spip_loader est à jour ?

Comment savoir si en fait spip tourne néanmoins sous 3.2.5

La version est indiquée en bas des pages de /ecrire

JL

Le 16/09/2019 à 15:41, JLuc a écrit :

Bonjour,

Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la modification arbitraire de contenus publiés, par des visiteurs non-identifiés.

Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
Il est impératif de mettre à jour votre site SPIP dès que possible en version 3.2.5 ou 3.1.11.

Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille.
Écran de sécurité - SPIP

La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité moins graves.
L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent et Christophe Laffont pour leurs signalements.

Annonce complète et détails
Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11 - SPIP Blog

Télécharger SPIP
Télécharger SPIP - SPIP

— L’équipe

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Le 17/09/2019 à 10:40, maison a écrit :

Oui, cache vidé, spip_loader dernière version et en pied de de /ecrire
toujours les mêmes informations :

La mise à jour 3.2.4 de SPIP est disponible
SPIP 3.2.1 [24404] est un logiciel libre distribué sous licence GPL.
+ écran de sécurité 1.3.12

Ma question est d'arriver à trouver ce qui coince. Soit la mise à jour
qui ne se fait pas soit l'information meta qui n'évolue pas bien que la
mise à jour soit ok ?

Je relancerai la mise à jour pour voir. C'est ce que j'ai fait hier car,
effectivement, j'étais toujours restée dans la version antérieure de
SPIP après avoir utilisé spip_loader sur certains sites.

Cela dit c'est un site en local. Donc c’est peut-être différent.

--

Ysabeau
Signature en travaux

Voir du côté du « couteau suisse », peut-être?
Pour ma part, le passage à spip 3.2.5 à partir de 3.2.3 s’est déroulé sans problème avec le spip_loader proposé

Le mardi 17 septembre 2019 à 10:45 +0200, Ysabeau a écrit :

Le 17/09/2019 à 10:40, maison a écrit :

> 

Oui, cache vidé, spip_loader dernière version et en pied de de /ecrire

toujours les mêmes informations :

 La mise à jour 3.2.4 de SPIP est disponible

 SPIP 3.2.1 [24404] est un logiciel libre distribué sous licence GPL.

 + écran de sécurité 1.3.12

Ma question est d'arrivr à trouver ce qui coince. Soit la mise à jour

qui ne se fait pas soit l'information meta qui n'évolue pas bien que la

mise à jour soit ok ?

Je relancerai la mise à jour pour voir. C'est ce que j'ai fait hier car,

effectivement, j'étais toujours restée dans la version antérieure de

SPIP après avoir utilisé spip_loader sur certains sites.

Cela dit c'est un site en local. Donc c’est peut-être différent.

Bonjour,
après une nouvelle installation de la dernière version, j'ai maintenant un affichage 'convenable' de la version en cours. Et tout marche bien.

  SPIP 3.2.5 [24404] est un logiciel libre distribué sous licence GPL.
+ écran de sécurité 1.3.12

Ce qui est 'troublant' c'est que vraisemblablement les mises à jours se passaient bien puisque l'identifiant de révision [24404] était bien indiqué, mais l'identifiant de version 3.2.1 restait bloqué.

Si 'les chefs' de spip trouvent la raison, mais ce n'est peut être pas fondamental, je suis évidemment preneur.
Merci aux contributeurs.
Amicalement Alain

Le 17/09/2019 à 11:02, webmaster arbr a écrit :

Oui, cache vidé, spip_loader dernière version et en pied de de /ecrire

toujours les mêmes informations :

La mise à jour 3.2.4 de SPIP est disponible

SPIP 3.2.1 [24404] est un logiciel libre distribué sous licence GPL.

+ écran de sécurité 1.3.12

Le 16/09/2019 à 20:54, klaus++ a écrit :

Malheureusement spip_svn_loader n'est pas encore à jour.

@klaus, sinon ya spip-cli hein…

$ spip dl -r 3.2.5

ou même pour avoir le dernier tag release auto

$ spip dl -r 3.2

--
RastaPopoulos

Merci pour l'indication. Jusqu'á présent j'ai évité de m'attaquer à
composer, mais il va falloir que je rassemble tout mon courage afin
d'accéder à ce nouveau monde

:-)k++

On 23.09.19 14:06, RastaPopoulos wrote:

Le 16/09/2019 à 20:54, klaus++ a écrit :

Malheureusement spip_svn_loader n'est pas encore à jour.

@klaus, sinon ya spip-cli hein…

$ spip dl -r 3.2.5

ou même pour avoir le dernier tag release auto

$ spip dl -r 3.2

klaus++ a écrit le 23/09/2019 à 14:23 :

Merci pour l'indication. Jusqu'á présent j'ai évité de m'attaquer à
composer, mais il va falloir que je rassemble tout mon courage afin
d'accéder à ce nouveau monde

Ça n'est pas composer mais spip-ci :

(bon d'accord, il nécessite composer)
--
RealET

"Pré-requis : Composer doit être installé sur la machine."

Volià, c'est une modif du système que je dois d'abord comprendre avant
de l'implémenter. J'ai pris l'habitude de m'imformer d'abord pour
comprendre comment se débarasser des trucs qu'on veut plus ou qui me
marchent pas. L'installation n'est que l'étape x après d'autres démarches.

Donc, sisi, SPIP-CLI n'est pas tellement le problème, c'est composer que
je ne connais pas encore.

:-)k++

On 23.09.19 14:32, RealET wrote:

klaus++ a écrit le 23/09/2019 à 14:23 :

Merci pour l'indication. Jusqu'á présent j'ai évité de m'attaquer à
composer, mais il va falloir que je rassemble tout mon courage afin
d'accéder à ce nouveau monde

Ça n'est pas composer mais spip-ci :
SPIP-Cli - SPIP-Contrib

(bon d'accord, il nécessite composer)