Bonjour,
plusieurs failles de sécurité ont été repérées dans les versions 1.9.2,
2.0 et 2.1 de SPIP.
Nous rappelons à toutes et tous que le meilleur moyen pour signaler des
failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.
C’est ce qu’a fait Laurent Esthieux (TEHTRI-Security) et nous l’en remercions.
La faille concernant la version 1.9.2 est majeure (injection sql) et si vous
avez une version 1.9.2 de SPIP, nous conseillons vivement de faire la mise à
jour en 1.9.2.k.
Concernant les versions 2.0 et 2.1, si l’impact sur un site est moins
important (full path disclosure), nous conseillons toutefois de mettre à jour
en 2.0.16 et 2.1.11.
Dans tous les cas vous avez toujours la possibilité de protéger rapidement
votre site (en attendant sa mise à jour complète) en téléchargeant la
version 1.0.5 (26 juillet 2011) de l’écran de sécurité, et en la déposant
dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).
N’hésitez pas à utiliser les différents moyens mis à disposition de la
communauté (http://boussole.spip.org) pour obtenir de l’aide lors de cette
mise à jour ; en particulier :
- liste spip-user http://listes.rezo.net/mailman/listinfo/spip
- forum http://forum.spip.org/
- IRC http://spip.net/irc
Avertissement :
Noter qu’à la sortie de la version 3.0, le support de la branche 1.9.2
sera définitivement abandonné.
Comment mettre à jour ?
-
par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l’adresse
http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.11 -
par copie des fichiers :
SPIP 2.1.11 est disponible à l’adresse
http://files.spip.org/spip/stable/spip.zip
SPIP 2.0.16 est disponible à l’adresse
http://files.spip.org/spip/archives/SPIP-v2-0-16.zip
SPIP 1.9.2k est disponible à l’adresse
http://files.spip.org/spip/archives/SPIP-v1-9-2k.zip -
par SVN ;
si vous êtes dans la branche 2.1 faites simplement un svn up
svn://trac.rezo.net/spip/branches/spip-2.1
la version 2.1.11 est aussi disponible sous la branche :
svn://trac.rezo.net/spip/branches/spip-2-stable/
et sous le tag
svn://trac.rezo.net/spip/tags/spip-2.1.11/
Post Scriptum :
Suite à un mouvement de foule concernant de multiples ‹ on-dit › sur
la date de sortie de la version 3.0, l’équipe SPIP-team se doit de
réagir et faire taire toute rumeur : « La version SPIP 3.0.0 sortira
quand elle sera prête ! »
D’ici là vous pouvez tester ‹ in situ › ce qu’elle propose
sur http://grml.eu/spip.php?article1 . Ou encore la télécharger
sur http://files.spip.org/spip/dev/SPIP-3-beta.zip (elle est
disponible en version beta ce qui veut dire que l’on se rapproche de
la date de sortie).
Post Scriptum 2 :
Vous avez vu le tout nouveau tout beau http://plugins.spip.net ? En fait
il n’est pas vraiment nouveau et il a toujours été beau. Mais il
est maintenant complètement automatique et basé sur de « puissants
algorithmes » :). Pour en savoir plus : http://plugins.spip.net/spip.php?article1.
La peinture est encore toute fraîche donc il se peut qu’il y ait
quelques coulures encore, mais allez y.
