Une faille CRITIQUE a été découverte récemment sous SPIP, elle permet à des auteurs identifiés d’injecter du contenu dans la base de données**.** Cette faille concerne les branches SPIP 3.1 et 3.2.
Il est impératif de mettre à jour votre site SPIP dès que possible.
L’équipe remercie Alexis Zucca pour l’identification et le signalement de la faille.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.13 bloque les exploitations possibles de la faille. La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
Comme annoncé précédemment, la version beta de SPIP 3.3 sera bientôt disponible, à suivre…
Une faille *CRITIQUE*a été découverte récemment sous SPIP, elle permet à des auteurs identifiés d'injecter du contenu dans la base de données*.*Cette faille concerne les *branches SPIP 3.1 et 3.2.*
Il est impératif de mettre à jour votre site SPIP *dès que possible*.
Bonsoir,
Est-ce normal si le bandeau bas du privé qui indique la version actuelle d'un site (dans mon cas SPIP 3.2.5 [24404]) la disponibilité de la mise à jour n’apparaît pas ?
Merci
dd
Perso je mets à jour une 50aine de sites, j’utilise spip_loader sans me poser de questions, mais j’ai effectivement vu que pas loin de 24h après le bandeau bas ne proposait toujours pas la mise à jour et que donc des personnes moins averties, ou simplement pas abonnées aux listes pouvaient être exposées à un risque …
Suggestion: ne faudrait-il pas attendre que cette mise à jour soit effectivement proposée avant de communiquer dessus, là on offre l’opportunité à un hacker affuté de sauter sur l’occasion pendant 24h … bon le risque n’est pas énorme (sauf s’il s’agit d’un site exposé, militant, e-commerce, …) et il y a encore la possibilité de l’écran mais là on parle déjà de quelqu’un qui a eu l’info par un autre biais que son site, ce qui est rarement le cas des utilisateurs finaux.
Et je prends l’opportunité de ce message pour remercier tous ceux qui veillent au grain, merci, merci 1000 fois.
Ce message s’affiche avec plus ou moins de temps car c’est un crin qui le gère donc normalement il faut 24h pour le voir partout mais ca dépend de la fréquentation aussi.
Bonne journée
Le ven. 13 déc. 2019 à 12:32, CSI <csi@zedd.pro> a écrit :
Bonjour,
Perso je mets à jour une 50aine de sites, j’utilise spip_loader sans me poser de questions, mais j’ai effectivement vu que pas loin de 24h après le bandeau bas ne proposait toujours pas la mise à jour et que donc des personnes moins averties, ou simplement pas abonnées aux listes pouvaient être exposées à un risque …
Suggestion: ne faudrait-il pas attendre que cette mise à jour soit effectivement proposée avant de communiquer dessus, là on offre l’opportunité à un hacker affuté de sauter sur l’occasion pendant 24h … bon le risque n’est pas énorme (sauf s’il s’agit d’un site exposé, militant, e-commerce, …) et il y a encore la possibilité de l’écran mais là on parle déjà de quelqu’un qui a eu l’info par un autre biais que son site, ce qui est rarement le cas des utilisateurs finaux.
Et je prends l’opportunité de ce message pour remercier tous ceux qui veillent au grain, merci, merci 1000 fois.
Bonsoir,
Est-ce normal si le bandeau bas du privé qui indique la version actuelle d’un site (dans mon cas SPIP 3.2.5 [24404]) la disponibilité de la mise à jour n’apparaît pas ?
Merci
dd
certainement une question de délai, ça ne devrait pas tarder…
Ce message s'affiche avec plus ou moins de temps car c'est un crin qui le gère donc normalement il faut 24h pour le voir partout mais ca dépend de la fréquentation aussi.
Bonne journée
Le ven. 13 déc. 2019 à 12:32, CSI <csi@zedd.pro <mailto:csi@zedd.pro>> a écrit :
Le 12/12/2019 à 23:33, chankalan@choc0.net
<mailto:chankalan@choc0.net> a écrit :
Bonsoir,
Le 12/12/2019 à 23:01, dd a écrit :
Bonsoir,
Est-ce normal si le bandeau bas du privé qui indique la version
actuelle d'un site (dans mon cas SPIP 3.2.5 [24404]) la
disponibilité de la mise à jour n’apparaît pas ?
Merci
dd
_______________________________
certainement une question de délai, ça ne devrait pas tarder...
--
----
chan
_______________________________________________
Le message commence à arriver sur les sites.
Merci !
Ce message s'affiche avec plus ou moins de temps car c'est un crin qui le gère donc normalement il faut 24h pour le voir partout mais ca dépend de la fréquentation aussi.
Bonne journée
Le ven. 13 déc. 2019 à 12:32, CSI <csi@zedd.pro <mailto:csi@zedd.pro>> a écrit :
Le 12/12/2019 à 23:33, chankalan@choc0\.net
<mailto:chankalan@choc0.net> a écrit :
Bonsoir,
Le 12/12/2019 à 23:01, dd a écrit :
Bonsoir,
Est\-ce normal si le bandeau bas du privé qui indique la version
actuelle d'un site \(dans mon cas SPIP 3\.2\.5 \[24404\]\) la
disponibilité de la mise à jour n’apparaît pas ?
Merci
dd
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
certainement une question de délai, ça ne devrait pas tarder\.\.\.
\-\-
\-\-\-\-
chan
Le message commence à arriver sur les sites.
Merci !
_______________________________________________
Y'a quand même un truc bizarre : sur un site qui a plusieurs centaines de visites par jour la mise à jour n'est toujours pas dispo. Dans les travaux CRON il est indiqué :
"dans 2 jours
Tâche CRON mise_a_jour (toutes les 259200 s) | mise_a_jour(1576197970)"
et lorsque je relance les travaux il indique toujours :
"dans 2 jours
Tâche CRON mise_a_jour (toutes les 259200 s) | mise_a_jour(1576244444)"
Effectivement la nouvelle version Spip vient de se signaler sur mes sites (après avoir exécuté certaines tâches Cron… qui apparaissent pourtant toujours « en attente »… bref).
Par contre mes essais de mise à jour via spip_loader.php (3.0.9) échouent, encore à l’instant…(« Le chargement a échoué. Veuillez réessayer, ou utiliser l’installation manuelle. ») alors que d’habitude il n’y a pas de problème…
Euh… que faire ? Attendre ? Mais…
Merci, bonne journée
De : chromo2018 via spip spip@rezo.net Envoyé : samedi 14 décembre 2019 12:50 À :spip@rezo.net Objet : Re: [Spip] Mise à jour CRITIQUE de sécurité : sortie de SPIP~ 3.2.7 & SPIP~3.1.12
Bonjour,
Effectivement la nouvelle version Spip vient de se signaler sur mes sites (après avoir exécuté certaines tâches Cron… qui apparaissent pourtant toujours « en attente »… bref).
Par contre mes essais de mise à jour via spip_loader.php (3.0.9) échouent, encore à l’instant…(« Le chargement a échoué. Veuillez réessayer, ou utiliser l’installation manuelle. ») alors que d’habitude il n’y a pas de problème…
Euh… que faire ? Attendre ? Mais…
Merci, bonne journée
Le 13/12/2019 à 14:45, dd a écrit :
Le 13/12/2019 à 14:30, dd a écrit :
Le 13/12/2019 à 12:48, Pierre KUHN a écrit :
Ce message s’affiche avec plus ou moins de temps car c’est un crin qui le gère donc normalement il faut 24h pour le voir partout mais ca dépend de la fréquentation aussi.
Bonsoir,
Est-ce normal si le bandeau bas du privé qui indique la version
actuelle d’un site (dans mon cas SPIP 3.2.5 [24404]) la
disponibilité de la mise à jour n’apparaît pas ?
Merci
dd
certainement une question de délai, ça ne devrait pas tarder…
chan
Le message commence à arriver sur les sites.
Merci !
Y’a quand même un truc bizarre : sur un site qui a plusieurs centaines de visites par jour la mise à jour n’est toujours pas dispo. Dans les travaux CRON il est indiqué :
« dans 2 jours
Tâche CRON mise_a_jour (toutes les 259200 s) | mise_a_jour(1576197970) »
et lorsque je relance les travaux il indique toujours :
« dans 2 jours
Tâche CRON mise_a_jour (toutes les 259200 s) | mise_a_jour(1576244444) »
