Sicherheitswarnung + neue Version SPIP 2.0.9

Hallo,

uns ist ein schwerwiegendes Sicherheitsproblem bekannt geworden. Es betrifft die Versionen 2.0 bis 2.08 sowie den Zweig 1.9. Ein Angreifer kann ihre SPIP Website und ihren Webserver übernehmen.

Diese Warnung ist von besonderer Bedeutung, weil das "Loch" nicht von einem "Guten" gefunden wurde, sondern bereits von einem "Bösen" verwendet wurde, um eine Website zu übernehmen und Malware einzuschleusen.

Korrekturen:
------------

Es liegen zwei überarbeitete Version von SPIP vor, welche das Problem beheben:
- SPIP 2.0.9 ist die neueste stabile offizielle Version, die außer der genannten Korrektur weitere Verbesserungen enthält (s.u.).
- SPIP 1.9.2.i ist die gepatchte Version des Zweigs 1.9.2

Downloads:
----------
SPIP 2.0.9
=> http://files.spip.org/spip/stable/
http://files.spip.org/spip/stable/spip.zip

SPIP 1.9.2i
=>http://files.spip.org/spip/archives/
http://files.spip.org/spip/archives/SPIP-v1-9-2i.zip

Für Spezialisten, die nur den Patch einspielen möchten, ohne weitere Änderungen an ihrer Installation von SPIP 2.0 vorzunahmen finden sich alle erforderlichen Informationen hier:
http://fil.rezo.net/secu-14346-14350+14354.patch
Es handelt sich um die Versionen [14347] [14348] [14349] [14350] et [14354].

Der Patch für den Zweig 1.9.2x befindet sich hier :
http://trac.rezo.net/trac/spip/changeset/14354/branches/spip-1.9.2

Sicherheitsschirm:
------------------
Wenn Sie Ihre Website nicht vollständig updaten können, bieten wir Ihnen an, den "Sicherheitsschirm" zu installieren, der eventuelle Angriffe abfängt, ohne Änderungen an den SPIP-Dateien nötig zu machen. Wie er funktioniert lesen Sie hier (auf Französisch):
http://www.spip.net/en_article4200.html
und hier (auf Englisch):
http://www.spip.net/en_article4201.html

Danksagung:
---------

Der Angriff wurde von Thomas Sutton und Pierre Rousset entdeckt und analysiert.

Der beste Weg, uns ein Sicherheitsproblem mitzuteilen, ist eine Mail auf Englisch oder Französisch an spip-team at rezo.net.

Einige der Unterschiede zwischen SPIP 2.0.8 und 2.0.9 :
--------------------------

- integration de l'ecran de securite si présent dans config/
- regexp plus strictes dans inc/syndic.php (évite un warning)
- le formulaire de login peut rediriger vers la page de l'auteur connecte
- affichage des revisions des champs extras2 et des mots-cles : ...
- #FORMULAIRE_ECRIRE_AUTEUR : quand le mail ne part pas, le signaler
- filtres explode et implode
- ne plus changer l'id_auteur des forums quand on les edite
- bug #1757 : quand on - renseigne automatiquement un site - puis coche la ...
- amélioration #1770 : ne pas vider les stats quand on importe un dump
- bug #1777 : ne pas publier une rubrique dont l'article est postdate...
- corriger l'ordre des éléments dans les flux RSS des forums
- afficher en clair les liens dans les forums a moderer
- caracteres supplementaires en arabe
- certains plugins refusaient de s'activer sur certains site

Log de la version 2.0.9
-----------------------
cf. http://trac.rezo.net/trac/spip/log/branches/spip-2.0 depuis 2.0.8

[14354] correction du nom de fichier de sauvegarde
[14352] correction des autorisations sur les sauvegardes
[14351] correction de l'icone 'tous vos articles" pour les rédacteurs
qui avait disparu
[14349]-[14350] correction de l'utilisation du validateur XML
[14347]-[14348] correction des autorisations sur le chmod et les bases externes
[14345] correction de la gestion du Content-Lenght sur requête Head+gz
[14024]-[14326] correction de #INCLURE qui ne propage plus connect,
comme <INCLURE
[14295]-[14296] correction d'un appel par référence obsolète
[14285] correction de la requête SQL avec Multi
[14283] correction d'un warning sur fichier inexistant
[14274]-[14276] correction de Regexp obsolètes dans la syndication
[14273] correction de public_phraser_html, qui n'était pas surchargeable
[14272] introduction de types de document : dv m4a m4b m4p m4u et m4v
[14270] amélioration de la lutte contre les robots: ajout d'un
rel='nofollow' sur le calendrier
[14265] correction de l'autorisation de bases externes dans les cas de
mutualisation (ok en multi-bases, toujours pas en base unique)
[14259] introduction de l'argument "@page_auteur" dans le formulaire
de login pour rediriger vers la page de l'auteur
[14255] introduction de la classe "puce"
[14253]-[14279] introduction des révisions des mots-clés et du champ extra2
[14252] amélioration du #FORMULAIRE_ECRIRE_AUTEUR : quand le mail ne
part pas, le dire
[14226] introduction des squelettes en sous-répertoire pour les
webmestres (spip.php?page=chemin/vers/monsquelette acceptés)
[14211] correction des dates nulles dans la version PostGres
[14174]-[14203]-[14206] amélioration de la gestion de l'id_auteur dans
les forums
[14193] amélioration des forums: utilisation du tableau des
traitements pour leur texte
[14191] correction des sauts de ligne dans les forums
[14190] correction de post_autobr
[14187] introduction des filtres implode et explode
[14181] correction du pré-remplissage dans la déclaration des bases externes
[14176] correction du portage PostGres pour la fonction listdbs
[14169] amélioration de la présentation de auteur_infos
[14158] amélioration du code produit par le compilateur
[14156]-[14157] correction du squelette de CSS en cas d'arguments fautifs
[14155] correction d'un appel parfois manquant au pipeline "styliser"
[14154] introduction de la constante _DEBUG_ANONYME
[14150]-[14151] correction du / final dans les URL arborescentes
[14149] correction du préfixe de table dans les requêtes SQL imbriquées
[14147] correction d'erreur de type SQL par révision des
spécifications de sql_quote
[14146] correction de la gestion des ancres dans les URL absolues
[14145] amélioration du cache des meta
[14139]-[14141] correction de la propagation des ancres en Ajax/CVT
par changement de spécification de redirige_formulaire
[14137] amélioration des spécifications des fonctions d'installation de plugins
[14133] correction de la fonction suivre_liens
[14132] correction de la déclaration d'une syndication: le descriptif
n'était pas toujours enregistré
[14131] correction de la gestion des majuscules dans les extensions de
fichier (#1762)
[14130] correction des caches avec session
[14129] amélioration de la reprise d'une restauration: sans cookie peut être ok
[14128] amélioration des restaurations: conserver les statistiques présentes
[14127] amélioration de la fonction retire_cache
[14125] correction de la largeur dans le style des listes
[14124] correction du statut de la traduction d'un article: pas d'héritage
[14123] correction du cache de trouver_table
[14119] correction des valeurs par défaut dans le phraseur
[14118] correction des statuts et dates des articles post-datés et leur rubrique
[14117] correction de la version PostGres: des apostrophes, pas des guillemets
[14116] correction du script de rotation d'image
[14166]-[14114] correction des appels de notes
[13987]-[13993]-[13998]-[14000]-[14010]-[14029]-[14105] correction de
#INCLURE et #MODELE qui n'acceptaient pas certains arguments
[14102] correction de l'ordre des éléments dans les flux RSS de forums
[14101] correction du critère {par} qui refusait certains arguments
[14100] amélioration de la recherche des types d'URL disponibles
[14093] correction des auto-liens (confusion avec le "<" d'un
raccourci de tableau)
[14089] introduction de la prise en compte du moteur Bing
[14077]-[14079] correction de la recherche SQL, qui ne se faisait pas
dans tous les forums
[14078] correction du pluriel des tables SQL, pas toujours bien géré
[14076] correction de l'attente Ajax, qui avait trop d'images
[14075] introduction de nouveaux arguments dans la balise #LOGO_DOCUMENT
[14069] introduction de la fonction surchargeable documenter_objet
[14068] correction de la gestion des ancres en Ajax
[14062] correction de l'appel ctype_xdigit, pas toujours disponible; le simuler.
[14060]-[14061]-[14064] correction du filtre "form_hidden", pas
toujours compatible avec certains type d'URL
[14057] correction du filtre "couper".
[14055] correction du surlignement
[14050] amélioration de présentation des forums à modérer
[14047] correction de la création de vignettes automatiques dans l'espace privé
[14046] correction du critère "par" inclus identique à un autre dans l'incluant
[14043] correction des squelettes ICS qui ne spécifiaient pas le Charset
[14042] correction du #LOGIN_PUBLIC n'acceptait pas une URL avec "&"
[14040] amélioration de contenu_document, qui devine le Charset d'un
document joint (.csv ou .html en particulier)
[14039] correction du Title de l'agenda qui indiquait toujours la date courante.
[14036]-[14038] amélioration de recuperer_page: gestion de user:pass
dans l'URL, et réduction de la consommation de mémoire
[14028] correction de la traduction iso-8859-1 en utf8
[14025] amélioration des statistiques: ne pas compter les spams
[14021] amélioration du pipe-line des articles: communiquer id_secteur
[14020] correction des dates et des séparateurs dans le CSV des statistiques
[13999]-[14018] introduction d'un pipeline afficher_hierarchie
[14017] correction du formulaire d'édiion des rubriques
[14013] correction de l'affichage normalisé de .csv joints qui ne le
sont pas toujours
[14008] amélioration de la recherche des fichiers de balises
dynamiques par restriction
[14004] correction de cas de bouclage dans une erreur en AJAX
[14001]-[14003] correction de ligatures arabes
[14002] introduction du pipeline "affiche_enfants"
[13997] correction d'une erreur dans un message d'erreur
[13984]-[13989]-[13994] correction du flux RSS de suivi du forum d'un
article qui était lacunaire
[13983] correction de la gestion de caractères non encodés dans la
table des metas, qui tronquaient celle-ci d'où des incohérences
notamment pour l'activation des plugins.

-- l'équipe de SPIP