Suite au signalement d’une faille de sécurité dans le code de SPIP,
nous sortons une nouvelle version dans toutes les branches maintenues :
SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.
Cette faille est critique et permet l’exécution arbitraire de PHP.
Il est vivement conseillé de mettre à jour sa version de SPIP et de tous ses plugins, notamment si vous utilisez le plugin SPIPDF.
Pour les personnes ne pouvant pas mettre à jour rapidement,
il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité qui corrige cette faille. http://www.spip.net/fr_article4200.html
Merci à RealET et Yannick Siegler pour ce signalement.
Suite au signalement d’une faille de sécurité dans le code de SPIP,
nous sortons une nouvelle version dans toutes les branches maintenues :
SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.
Cette faille est critique et permet l’exécution arbitraire de PHP.
Il est vivement conseillé de mettre à jour sa version de SPIP et de tous
ses plugins, notamment si vous utilisez le plugin SPIPDF.
Un grand merci.
Au fait que se passe-t-il pendant une mise à jour par spip_loader ? Est-ce que le site reste accessible ?
--
Bonbonne journée, matinée, après-midi, soirée, semaine, fin de semaine.
Ysabeau
je viens de faire deux mises à jour avec le spip loader, en quelques minutes. Donc l’interruption du site si elle existe ne devrait pas être problématique.
Moi j'ai mis le nouvel écran de sécurité sur 80 installations spip, ça m'a pris une bonne heure et demie quand même mais on se sent plus serein après
Le 06/03/2017 à 15:28, RealET a écrit :
Suite au signalement d’une faille de sécurité dans le code de SPIP,
nous sortons une nouvelle version dans toutes les branches maintenues :
SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.
Cette faille est critique et permet l’exécution arbitraire de PHP.
Il est vivement conseillé de mettre à jour sa version de SPIP et de tous
ses plugins, notamment si vous utilisez le plugin SPIPDF.
Pour les personnes ne pouvant pas mettre à jour rapidement,
il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité
qui corrige cette faille. Écran de sécurité - SPIP
Merci à RealET et Yannick Siegler pour ce signalement.
Moi j'ai mis le nouvel écran de sécurité sur 80 installations spip, ça m'a pris une bonne heure et demie quand même mais on se sent plus serein après
Le 06/03/2017 à 15:28, RealET a écrit :
Suite au signalement d’une faille de sécurité dans le code de SPIP,
nous sortons une nouvelle version dans toutes les branches maintenues :
SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.
Cette faille est critique et permet l’exécution arbitraire de PHP.
Il est vivement conseillé de mettre à jour sa version de SPIP et de tous
ses plugins, notamment si vous utilisez le plugin SPIPDF.
Pour les personnes ne pouvant pas mettre à jour rapidement,
il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité
qui corrige cette faille. Écran de sécurité - SPIP
Merci à RealET et Yannick Siegler pour ce signalement.
je viens de faire deux mises à jour avec le spip loader, en quelques
minutes. Donc l'interruption du site si elle existe ne devrait pas être
problématique.
Pour une raison qui m'échappe ça a bousillé le site, j'ai de refaire le fichier .htaccess en renommant la version originale "htaccess.txt".
--
Bonbonne journée, matinée, après-midi, soirée, semaine, fin de semaine.
Ysabeau
Pour les personnes ne pouvant pas mettre à jour rapidement,
il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité
qui corrige cette faille. Écran de sécurité - SPIP
Dans le cadre d'une mutualisation, en attendant de faire la maj du noyau, faut-il mettre l'écran de sécurité dans le config de spip ou faut-il le mettre dans le répertoire config de chacun des sites mutualisés ?
Pour les personnes ne pouvant pas mettre à jour rapidement,
il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité
qui corrige cette faille. Écran de sécurité - SPIP
Dans le cadre d'une mutualisation, en attendant de faire la maj du noyau, faut-il mettre l'écran de sécurité dans le
config de spip ou faut-il le mettre dans le répertoire config de chacun des sites mutualisés ?
oui il suffit de le mettre dans le config du dossier principal, c'est l'intérêt de la mutu.
Mais la doc ci dessus référencée explique comment tester :
«
Pour vérifier la bonne exécution du script, appeler le site public en ajoutant à l’url soit ?test_ecran_securite=1, soit &test_ecran_securite=1
l’affichage résultant devrait être :
Error 403
You are not authorized to view this page (test 1.3.0)
»
Tu peux vérifier ainsi et voir si le site est protégé ou non,
et si la maj a correctement eu lieu.
"RealET" <real3t@gmail.com> a écrit dans le message de news: o9jrm7$ehq$1@blaine.gmane.org...
Suite au signalement d’une faille de sécurité dans le code de SPIP,
nous sortons une nouvelle version dans toutes les branches maintenues :
SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.
Cette faille est critique et permet l’exécution arbitraire de PHP.
Il est vivement conseillé de mettre à jour sa version de SPIP et de tous
ses plugins, notamment si vous utilisez le plugin SPIPDF.
Pour les personnes ne pouvant pas mettre à jour rapidement,
il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité
qui corrige cette faille. http://www.spip.net/fr_article4200.html
Merci à RealET et Yannick Siegler pour ce signalement.
j'ai mis à jour spip 2.1.x vers 2.1.30, chez free et tout a pété. En plus j'ai supprimé toutes les tables (parce que spip m'a demandé de mettre à jour ma base de données et depuis j'avais une foultitude d'erreur sql) spip refuse de recreer les tables. que faire ?
Jean-Christophe (Sekinger)
19 rue des Pontets
33000 Bordeaux
06 82 09 82 20 (dehors)
09 52 12 53 02 (dedans)
Le 06/03/2017 à 15:28, RealET a écrit :
Suite au signalement d’une faille de sécurité dans le code de SPIP,
nous sortons une nouvelle version dans toutes les branches maintenues :
SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.
Cette faille est critique et permet l’exécution arbitraire de PHP.
Il est vivement conseillé de mettre à jour sa version de SPIP et de tous ses plugins, notamment si vous utilisez le plugin SPIPDF.
Pour les personnes ne pouvant pas mettre à jour rapidement,
il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité qui corrige cette faille. Écran de sécurité - SPIP
Merci à RealET et Yannick Siegler pour ce signalement.
Le 07/03/2017 à 19:14, Jean-Christophe Sekinger a écrit :
j'ai mis à jour spip 2.1.x vers 2.1.30, chez free et tout a pété. En
plus j'ai supprimé toutes les tables (parce que spip m'a demandé de
mettre à jour ma base de données et depuis j'avais une foultitude
d'erreur sql) spip refuse de recreer les tables. que faire ?
En attendant une version 2.1.31 (et une nouvelle 2.X.n), je te conseille de tenter de passer ton site en PHP 5 (il doit être en php4) avec mysqli présent sur l'hébergement. (si c'est possible chez Free).
Jean-Christophe Sekinger a écrit le 07/03/2017 à 19:14 :
j'ai mis à jour spip 2.1.x vers 2.1.30, chez free et tout a pété. En
plus j'ai supprimé toutes les tables (parce que spip m'a demandé de
mettre à jour ma base de données et depuis j'avais une foultitude
d'erreur sql) spip refuse de recreer les tables. que faire ?
Cette version de SPIP 2.1.30 induit de gros changements dans la version de PHP minimum (ça marche plus en 4) et dans l'accès à MySQL (lib mysqli) ce qui la rend probablement incompatible avec l'hébergement free.fr (ou en tout cas certains de leurs serveurs).
Donc :
1) ta base est en principe toujours là
2) c'est juste SPIP qui n'est pas capable de la lire
3) tu dois pouvoir la sauvegarder avec phpmyadmin
4) ce qu'à dit Matthieu est vrai (attendre une 2.1.31)
5) désolé
Le 07/03/2017 à 19:54, Matthieu Marcillaud a écrit :
Le 07/03/2017 à 19:14, Jean-Christophe Sekinger a écrit :
j'ai mis à jour spip 2.1.x vers 2.1.30, chez free et tout a pété. En
plus j'ai supprimé toutes les tables (parce que spip m'a demandé de
mettre à jour ma base de données et depuis j'avais une foultitude
d'erreur sql) spip refuse de recreer les tables. que faire ?
En attendant une version 2.1.31 (et une nouvelle 2.X.n), je te conseille
de tenter de passer ton site en PHP 5 (il doit être en php4) avec mysqli
présent sur l'hébergement. (si c'est possible chez Free).
On me dit dans l'oreillette que mysqli n'est pas disponible chez Free (la plaie).
Jean-Christophe (Sekinger)
19 rue des Pontets
33000 Bordeaux
06 82 09 82 20 (dehors)
09 52 12 53 02 (dedans)
Le 07/03/2017 à 20:04, RealET a écrit :
Jean-Christophe Sekinger a écrit le 07/03/2017 à 19:14 :
j'ai mis à jour spip 2.1.x vers 2.1.30, chez free et tout a pété. En
plus j'ai supprimé toutes les tables (parce que spip m'a demandé de
mettre à jour ma base de données et depuis j'avais une foultitude
d'erreur sql) spip refuse de recreer les tables. que faire ?
Cette version de SPIP 2.1.30 induit de gros changements dans la version de PHP minimum (ça marche plus en 4) et dans l'accès à MySQL (lib mysqli) ce qui la rend probablement incompatible avec l'hébergement free.fr (ou en tout cas certains de leurs serveurs).
Donc :
1) ta base est en principe toujours là
2) c'est juste SPIP qui n'est pas capable de la lire
3) tu dois pouvoir la sauvegarder avec phpmyadmin
4) ce qu'à dit Matthieu est vrai (attendre une 2.1.31)
5) désolé
