Bah en même temps l’annonce a été faite, donc je ne vois pas trop comment on pourrait faire plus…
OK, un lien pour le rappeler svp ?
J’espère que l’annonce n’est pas le message « …si vous n’avez pas accès à ecrire… ».
Bah ici Mise à jour critique de sécurité : sortie de SPIP 4.2.1, SPIP 4.1.8, SPIP (...) - SPIP Blog → spip 4.1.8 corrige une faille critique de sécurité.
Article annoncé ensuite sur contrib et sur discuter.spip.net
Donc je ne vois pas comment on pourrait prévenir plus les gens qu’il faut mettre à jour…
J’ai bien vu l’annonce « Mise à jour de sécurité 4.1.8…3.2.19 », il y en a eu de nombreuses depuis 15 ans. Et c’est très bien.
Ce que je demande, c’est d’annoncer officiellement les vagues d’attaques qui ont lieu en ce moment sur toutes les versions même les anciennes, les 2.1, les 3.0 et 3.1 ! Car il y a de très nombreux sites qui tournent sur ces versions.
Donc je le rappelle, si tous ces sites tombent, ce sera une très mauvaise image pour SPIP (même si ce sont de vieux sites), et de nombreux sites vont être redéveloppés… sous WP !
P.S. : et je le renote, je déteste cette interjection hautaine que l’on trouve de plus en plus souvent pour commencer une réponse sur le groupe SPIP : « Bah »
Bonjour je suis bien d’accord avec vous cependant j’ai 2 autres sites à jour avec le même problème que mon hébergeur a réglé et j’attends sa réponse sur la raison de ce problème.
cordialement
Épingler ce post que j’ai fait hier ?
- Y placer au moins le contenu de description des changements, merci
- Changer le titre pour qqchose de bien plus explicite ! Quand on voit passer un titre « si vous n’avez pas accès à écrire », on ne se doute pas que ce serait à cause d’un hack, donc on ne lit pas forcément le corps. Donc un titre du style « Alerte : vague de piratage de sites depuis le 23 avril, versions 2.1 à 4.2 :: pas d’accès à /ecrire »
- Répondre à une question posée sur le sujet : « est-ce mettre à jour l’écran de sécurité sur des vieilles versions protègerait temporairement en attendant la mise à jour ? »
- Répondre à ma question : « y a-t-il des fichiers que l’on pourrait supprimer pour éviter la faille quitte à désactiver certaines fonctionnalités en attendant une mise à jour de notre site ? »
Merci
Y en a des pires et yen a des bénignes, mais globalement les failles de sécurités détectées et comblées il y a 15 ans n’étaient pas moins graves que celles comblées dans la 4.1.8 et la 3.2.19.
Bien sur, chaque faille est ressentie comme particulièrement grave par ses victimes.
Mais dans un titre « Mise à jour de sécurité », qu’est ce qui n’est pas clair ?
Si un⋅e webmestre ne lit pas les annonces, je pense pas qu’un titre putaclic les lui fera lire.
Peut être il faudrait proposer un plugin « Desactive_mon_site_et_affiche_une_grosse_alerte_sur_les_pages_publiques_a_la_place_du_contenu_normal_quand_une_faille_est_detectee » car ainsi les utilisateurs sympas mais frustrés contacteraient le webmestre distrait ou négligent… mais quel webmestre voudra un tel plugin sur son site ?
1 « J'aime »
Je ne suis pas core dev, je n’ai donc pas accès aux informations des tickets de sécurité.
Ce que je vais écrire est donc à confirmer par la Team.
En regardant ces 2 commits qui correspondent à la sortie de SPIP 3.2.18 :
- fix: Sanitizer toutes les valeurs passées aux formulaires preventivement dans l'écran de sécurité · d6d9e10e64 - spip - SPIP on GIT
- fix: Sanitizer toutes les valeurs passées aux formulaires preventivement dans l'écran de sécurité · d6d9e10e64 - spip - SPIP on GIT
L’écran de sécurité à jour devrait bloquer l’attaque en cours.
1 « J'aime »
Mais si tu as des informations, tu es libre de créer un sujet du style « Alerte : vague de piratage de sites depuis le 23 avril, versions 2.1 à 4.2 :: pas d’accès à /ecrire » ainsi que tu l’appelles de tes voeux
J’ai modifié le titre du sujet Alerte : vague de piratage de sites depuis le 23 avril, versions 2.1 à 4.2 + pas d’accès à /ecrire
que j’avais posté hier
Attention (ou alors j’ai vraiment mal compris tous les messages y compris les annonces de sécurité), ce message laisse à croire que la 3.2.19 n’est plus sûre, est-ce vraiment le cas ?
Je dis « attention » car une mauvaise information est souvent aussi dommageable que l’alerte elle-même.
Pierre super content d’avoir mis à jour 50 sites dans l’heure qui a suivi l’alerte 
mais qui flippe à l’idée qu’il aurait pû être en vacances la semaine ou c’est arrivé 
J’ai modifié le titre du post en :
Alerte : vague de piratage de sites depuis le 23 avril : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1)
Ça ne signifie simplement pas du tout la même chose.
Mise à jour de sécurité, ça signifie que si elle n’est pas faite, on est dans une situation d’insécurité.
C’est le terme standard.
Peut-être manquait-il le terme de « vulnérabilité critique » que l’on trouve ici : CVE-2023-27372: SPIP Form Value elévation de privilèges
Ca m’agace un petit peu cette discussion…
J’ai bien vu l’annonce « Mise à jour de sécurité 4.1.8…3.2.19 », il y en a eu de nombreuses depuis 15 ans.
Voilà le problème, et comme on dit le bug est souvent entre la chaise et le clavier.
On ne peut pas à la fois traiter par dessus la jambe les alertes de sécurité et venir râler parce qu’on n’est pas « correctement » prévenu, je trouve ça des plus malhonnête. Et je trouve que c’est le plus grand mépris pour la team peu nombreuse qui fait le maximum.
J’espère au moins que la leçon sera comprise et que la prochaine fois les râleurs n’attendront pas d’avoir leurs sites infectés pour faire les mises à jour nécessaires. Plus de deux mois après tout de même !
5 « J'aime »
Bonjour
Bah, étant donné qu’un problème de sécurité peut inclure des problèmes d’accès , il y a bien une notion de cascade. L’affirmation suivante est malheureuse :
La faille a été corrigée dès que les premiers incidents de sécurité ont été signalés. Ces problèmes peuvent s’exprimer comme dans le cas présent mais aussi sous d’autres formes. Il s’agit donc bien d’une mise à jour de sécurité.
Au moment de l’annonce d’une mise à jour de sécurité, il est impossible de savoir comment celle ci sera exploitée. On ne peut demander de communiquer sur comment cela se passera dans le futur. Mais si une personne a une boule de cristal merci d’en offrir une à l’équipe SPIP qui a corrigé, communiqué, travaillé sur le correctif de la faille aussi rapidement.
Enfin si la communication n’est pas suffisante, la communauté acceptera tout action améliorant notre bien commun comme par exemple faire un travail de recensement, d’explication, de proposition d’amélioration.
N’hésite donc pas à ouvrir un fil avec ce travail que tu sembles avoir déjà commencé, il sera apprécié.
La communauté travaille sans relâche à corriger toutes les failles de sécurité connues et de communiquer à leur propos. Je ne doute pas non plus que tu indiquais également tes remerciements sans fin pour ces 15 dernières années.
@jpa25 désolé on déborde beaucoup sur ton message initial. Tu as, me semble t il, eu les premières pistes pour régler le problème que tu rencontres.
SI tu as d’autres informations à communiquer entre autre les retours de ton hébergeur, n’hésite pas à nous en faire part Ce sera lu avec plaisir.
1 « J'aime »
Ne perdez pas plus de temps à rédiger de longs textes d’argumentations pour moi.
SI vous pensez que « Informer d’une mise à jour de de sécurité sur les versions maintenues » est équivalent à « Informer d’une vague d’attaques sur l’ensemble des versions non à jour, mêmes antérieures aux maintenues », je ne m’époumone pas plus.
Ca va faire du bien
Merci
Ça fait un mois qu’on a vu passer les premières attaques ici.
Et, globalement, c’est après attaque que les victimes viennent ici, pas avant.
Autrement dit, et comme partout, quoiqu’on puisse faire pour essayer de prévenir, la communication sera toujours mauvaise.
Ceci dit, WordPress fait régulièrement l’objet dans la presse d’une information sur une vague d’attaque ayant touché plusieurs centaines de milliers, voire de millions de sites web.
Et ça ne fait ni chaud ni froid à sa réputation.
Par contre, ça touche beaucoup de monde qui songe alors à mettre à jour.
Peut-être pourrais-tu rédiger un communiqué de presse et le faire passer à la presse pour informer de cette vague d’attaque ?
1 « J'aime »