SPIP 2.1.8 : Mise à jour importante

Bonjour,

une faille nous a été signalée hier matin (13 janvier 2011).

Nous attirons votre attention sur le fait que, contrairement aux
précédentes, cette faille est CRITIQUE. Tous les sites sous SPIP sont
concernés, quels que soient leurs réglages. Les conséquences en cas
d'attaque peuvent aller jusqu'à la destruction des fichiers du site et
de sa base de données.

Cette faille concerne toutes les versions 2.0.x et 2.1.x de SPIP,
jusqu'à la version 2.1.6 parue le 6 janvier 2011.

Une nouvelle version stable vient d'être publiée : SPIP 2.1.8

Nous vous recommandons FORTEMENT de mettre à jour SPIP sur votre
serveur. Mais si vous n'avez pas le temps de le faire immédiatement,
prenez tout de même deux minutes pour mettre à jour (ou installer)
l'écran de sécurité, dont la version 0.9.7 bloquera une éventuelle
attaque via cette faille. (voir les liens ci-dessous.)

Nous remercions Arnaud Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d'envoyer un
email à spip-team@rezo.net

N'hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l'aide sur cette migration :
liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
forum : http://forum.spip.org/
irc : http://spip.net/irc

Comment mettre à jour ?
-----------------------

Comme d'habitude, plusieurs possibilités pour la mise à jour :

1. l'écran de sécurité ; si vous n'avez pas le temps de faire tout de
suite une mise à jour complète, vous pouvez sécuriser en deux minutes
votre site en téléchargeant la version 0.9.7 de l'écran de sécurité,
et en la déposant dans votre répertoire config/
* cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l'adresse http://ADRESSE_DU_SITE/spip_loader.php pour
installer SPIP 2.1.8

3. par FTP : SPIP 2.1.8 est disponible à l'adresse
* http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; si vous êtes dans la branche 2.1
* svn://trac.rezo.net/spip/branches/spip-2.1 faites simplement svn up

La version 2.1.8 est aussi disponible sous la branche
* svn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag
* svn://trac.rezo.net/spip/tags/spip-2.1.8/

(Pour la série 2.0 plus ancienne, la version SPIP-2.0.13 est disponible par FTP
sur files.spip.org/archives )

P.S : et bien sur pour finir sur une petite note humoristique ... si jamais vous
vous posez la question de savoir où est passé la 2.1.7 la réponse est :
"Un chat s'est baladé sur le clavier et a appuyé sur le bouton de
génération des
paquets SPIP par mégarde "