pas d'acces à l'admin

J’ai bien vu l’annonce « Mise à jour de sécurité 4.1.8…3.2.19 », il y en a eu de nombreuses depuis 15 ans. Et c’est très bien.
Ce que je demande, c’est d’annoncer officiellement les vagues d’attaques qui ont lieu en ce moment sur toutes les versions même les anciennes, les 2.1, les 3.0 et 3.1 ! Car il y a de très nombreux sites qui tournent sur ces versions.
Donc je le rappelle, si tous ces sites tombent, ce sera une très mauvaise image pour SPIP (même si ce sont de vieux sites), et de nombreux sites vont être redéveloppés… sous WP !

P.S. : et je le renote, je déteste cette interjection hautaine que l’on trouve de plus en plus souvent pour commencer une réponse sur le groupe SPIP : « Bah »

Bonjour je suis bien d’accord avec vous cependant j’ai 2 autres sites à jour avec le même problème que mon hébergeur a réglé et j’attends sa réponse sur la raison de ce problème.
cordialement

Épingler ce post que j’ai fait hier ?

1. Y placer au moins le contenu de description des changements, merci
2. Changer le titre pour qqchose de bien plus explicite ! Quand on voit passer un titre « si vous n’avez pas accès à écrire », on ne se doute pas que ce serait à cause d’un hack, donc on ne lit pas forcément le corps. Donc un titre du style « Alerte : vague de piratage de sites depuis le 23 avril, versions 2.1 à 4.2 :: pas d’accès à /ecrire »
3. Répondre à une question posée sur le sujet : « est-ce mettre à jour l’écran de sécurité sur des vieilles versions protègerait temporairement en attendant la mise à jour ? »
4. Répondre à ma question : « y a-t-il des fichiers que l’on pourrait supprimer pour éviter la faille quitte à désactiver certaines fonctionnalités en attendant une mise à jour de notre site ? »
   Merci

Y en a des pires et yen a des bénignes, mais globalement les failles de sécurités détectées et comblées il y a 15 ans n’étaient pas moins graves que celles comblées dans la 4.1.8 et la 3.2.19.

Bien sur, chaque faille est ressentie comme particulièrement grave par ses victimes.

Mais dans un titre « Mise à jour de sécurité », qu’est ce qui n’est pas clair ?
Si un⋅e webmestre ne lit pas les annonces, je pense pas qu’un titre putaclic les lui fera lire.

Peut être il faudrait proposer un plugin « Desactive_mon_site_et_affiche_une_grosse_alerte_sur_les_pages_publiques_a_la_place_du_contenu_normal_quand_une_faille_est_detectee » car ainsi les utilisateurs sympas mais frustrés contacteraient le webmestre distrait ou négligent… mais quel webmestre voudra un tel plugin sur son site ?

Je ne suis pas core dev, je n’ai donc pas accès aux informations des tickets de sécurité.

Ce que je vais écrire est donc à confirmer par la Team.

En regardant ces 2 commits qui correspondent à la sortie de SPIP 3.2.18 :

• fix: Sanitizer toutes les valeurs passées aux formulaires preventivement dans l'écran de sécurité · d6d9e10e64 - spip - SPIP on GIT
• fix: Sanitizer toutes les valeurs passées aux formulaires preventivement dans l'écran de sécurité · d6d9e10e64 - spip - SPIP on GIT

L’écran de sécurité à jour devrait bloquer l’attaque en cours.

Mais si tu as des informations, tu es libre de créer un sujet du style « Alerte : vague de piratage de sites depuis le 23 avril, versions 2.1 à 4.2 :: pas d’accès à /ecrire » ainsi que tu l’appelles de tes voeux

J’ai modifié le titre du sujet Alerte : vague de piratage de sites depuis le 23 avril, versions 2.1 à 4.2 + pas d’accès à /ecrire
que j’avais posté hier

Attention (ou alors j’ai vraiment mal compris tous les messages y compris les annonces de sécurité), ce message laisse à croire que la 3.2.19 n’est plus sûre, est-ce vraiment le cas ?
Je dis « attention » car une mauvaise information est souvent aussi dommageable que l’alerte elle-même.

Pierre super content d’avoir mis à jour 50 sites dans l’heure qui a suivi l’alerte mais qui flippe à l’idée qu’il aurait pû être en vacances la semaine ou c’est arrivé

J’ai modifié le titre du post en :
Alerte : vague de piratage de sites depuis le 23 avril : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1)

(Alerte : vague de piratage de sites depuis le 23 avril : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1))

Ça ne signifie simplement pas du tout la même chose.

Mise à jour de sécurité, ça signifie que si elle n’est pas faite, on est dans une situation d’insécurité.
C’est le terme standard.

Peut-être manquait-il le terme de « vulnérabilité critique » que l’on trouve ici : CVE-2023-27372: SPIP Form Value elévation de privilèges

Ca m’agace un petit peu cette discussion…

J’ai bien vu l’annonce « Mise à jour de sécurité 4.1.8…3.2.19 », il y en a eu de nombreuses depuis 15 ans.

Voilà le problème, et comme on dit le bug est souvent entre la chaise et le clavier.
On ne peut pas à la fois traiter par dessus la jambe les alertes de sécurité et venir râler parce qu’on n’est pas « correctement » prévenu, je trouve ça des plus malhonnête. Et je trouve que c’est le plus grand mépris pour la team peu nombreuse qui fait le maximum.
J’espère au moins que la leçon sera comprise et que la prochaine fois les râleurs n’attendront pas d’avoir leurs sites infectés pour faire les mises à jour nécessaires. Plus de deux mois après tout de même !

Bonjour

Bah, étant donné qu’un problème de sécurité peut inclure des problèmes d’accès , il y a bien une notion de cascade. L’affirmation suivante est malheureuse :

La faille a été corrigée dès que les premiers incidents de sécurité ont été signalés. Ces problèmes peuvent s’exprimer comme dans le cas présent mais aussi sous d’autres formes. Il s’agit donc bien d’une mise à jour de sécurité.
Au moment de l’annonce d’une mise à jour de sécurité, il est impossible de savoir comment celle ci sera exploitée. On ne peut demander de communiquer sur comment cela se passera dans le futur. Mais si une personne a une boule de cristal merci d’en offrir une à l’équipe SPIP qui a corrigé, communiqué, travaillé sur le correctif de la faille aussi rapidement.

Enfin si la communication n’est pas suffisante, la communauté acceptera tout action améliorant notre bien commun comme par exemple faire un travail de recensement, d’explication, de proposition d’amélioration.
N’hésite donc pas à ouvrir un fil avec ce travail que tu sembles avoir déjà commencé, il sera apprécié.

La communauté travaille sans relâche à corriger toutes les failles de sécurité connues et de communiquer à leur propos. Je ne doute pas non plus que tu indiquais également tes remerciements sans fin pour ces 15 dernières années.

@jpa25 désolé on déborde beaucoup sur ton message initial. Tu as, me semble t il, eu les premières pistes pour régler le problème que tu rencontres.
SI tu as d’autres informations à communiquer entre autre les retours de ton hébergeur, n’hésite pas à nous en faire part Ce sera lu avec plaisir.

Ne perdez pas plus de temps à rédiger de longs textes d’argumentations pour moi.

SI vous pensez que « Informer d’une mise à jour de de sécurité sur les versions maintenues » est équivalent à « Informer d’une vague d’attaques sur l’ensemble des versions non à jour, mêmes antérieures aux maintenues », je ne m’époumone pas plus.

Ca va faire du bien
Merci

Ça fait un mois qu’on a vu passer les premières attaques ici.
Et, globalement, c’est après attaque que les victimes viennent ici, pas avant.
Autrement dit, et comme partout, quoiqu’on puisse faire pour essayer de prévenir, la communication sera toujours mauvaise.

Ceci dit, WordPress fait régulièrement l’objet dans la presse d’une information sur une vague d’attaque ayant touché plusieurs centaines de milliers, voire de millions de sites web.
Et ça ne fait ni chaud ni froid à sa réputation.

Par contre, ça touche beaucoup de monde qui songe alors à mettre à jour.

Peut-être pourrais-tu rédiger un communiqué de presse et le faire passer à la presse pour informer de cette vague d’attaque ?

Pour répondre au point 3 :

3. Répondre à une question posée sur le sujet : « est-ce mettre à jour l’écran de sécurité sur des vieilles versions protègerait temporairement en attendant la mise à jour ? »

NON : l’écran de sécurité ne protège pas les versions inférieurs a 3
(peut-être même jusqu’a 3.2 !!!). J’en ai la preuve par notre serveur
qui a été infecté le 23-3 (SPIP 2.1) alors que l’écran (1.5.1) a été
placé la veille (22-3).
En plus, le système a été infecter avec un mineur par une deuxième
attaque (serveur actuellement retiré).
C’est donc une faille plus que critique.

Peut-être mettre une hiérarchie dans le type de faille afin d’évité
l’effet « crier au loup » + faire des correctifs plus profond dans les
versions de SPIP (jusqu’à N-2 dernière subversion : ici 2.1) en fonction
de la gravité de la faille.

Je profite de cet intervention pour donner mon avis sur autre chose : le
suivi des versions de SPIP avec le calendrier des versions de PHP : moi
pas comprendre !!!, c’est pour ma part contre-productif, ne vaudrait-il
pas mieux faire des mise à jour mineure (X.Y.Z+1) pour adapter SPIP au
langage (suppression de fonctions) et qu’il soit compatible PHP dernière
version ?

–
Cordialement, Eric Camus.

Alors

1. On ne maintient plus ces versions < 3.2 depuis assez longtemps maintenant
2. Tout dépend des backdoors potentiellement injectées avant la mise à jour de l’écran de sécu aussi, et réutilisées après coup, si elles n’avaient pas été supprimées

Peut-être mettre une hiérarchie dans le type de faille afin d’évité l’effet « crier au loup »

Quand tu lis « critique » dans le titre de l’annonce, c’est que c’est forcément grave !

Il faut se dire que toute faille sera exploitée par des robots (plus ou moins sympas, de cryptominage ou autres), et donc il est important de mettre à jour dès que l’une est connue… Et de nettoyer les backdoors installées quand le site s’est fait pirater !

L’écran de sécurité fait ce qu’il peut pour corriger les failles même sur un SPIP qui n’a pas été mis à jour, mais il ne peut pas toujours tout faire.
C’est peu fréquent heureusement, mais Il est arrivé dans le passé que certaines failles soient corrigées dans SPIP mais ne puissent pas être parées par l’écran de sécurité.
Sans oublier que l’écran de sécurité doit être mis à jour aussi.