SPIP 2.1.9

klaus · Mars 27, 2011, 7:52

Hallo,

unsere Mitarbeiter (nochmals Dank an Arnault) haben eine Sicherheitslücke in SPIP entdeckt, durch die eine
cross-site-scripting (XSS) Injektion möglich ist.

Der Fehler wurde vor fünf Jahren in den Code ingebracht (am 8. October 2005), so daß ALLE Versionen von SPIP betroffen sind.

Um ihre Website abzusichern, reicht es, die Datei 404.html zu korrigieren,
die sich in folgendem Verzeichnis befindet:
  * dist/ bei Version SPIP 1.9
  * squelettes-dist/ bei Version SPIP 2.0 oder 2.1
  * extensions/dist_2007/ bei der aktuellen Entwicklerversion

In diesem Skelett/Template brauchen sie nur Asterisk und Filter zu löschen, so daß aus
#ENV*{erreur}|propre
#ENV{erreur}
wird.

Aus gegebenem Anlaß weisen wir darauf hin, daß der beste Weg, um uns über Sicherheitslücken zu informieren, eine Mail an spip-team plop rezo.net (plop bitte durch @ ersetzen) ist.

Bitte nutzen sie auch die anderen Hilfen für die Versionsumstellung:

Deutsche Mailing Liste
spip-de : http://listes.rezo.net/mailman/listinfo/spip-de
Englische Mailingliste
spip-en : http://listes.rezo.net/mailman/listinfo/spip-en
Forum : http://forum.spip.org/
IRC : http://spip.net/irc

Wie mache ich ein Update ?

Wie immer gibt es mehrere Updatemöglichkeiten:

1. Der Sicherheitsschirm: Wenn sie zru Zeit keine Möglichkeit für eine Umstellung auf die neueste Version haben, können sie den Sicherheitsschirm in der Version 1.0.1 hier herunterladen und in das Verzeichnis config/ einspielen:
cf. http://www.spip.net/fr_article4200.html

2. Mit dem SPIP-Loader: wenn sie spip_loader.php bereits nutzen, können sie nach SPIP 2.1.9 umstellen, indem sie diesen URL öffnen:
http://ADRESSE_IHRER_WEBSITE/spip_loader.php

3. per FTP:
http://files.spip.org/spip/stable/

4. und natürlich per SVN:
Führen sie den Befehl svn up aus
für den Zweig SPIP 2.1: svn://trac.rezo.net/spip/branches/spip-2.1
für den stabilen Zweig: svn://trac.rezo.net/spip/branches/spip-2-stable/
für den tag : svn://trac.rezo.net/spip/tags/spip-2.1.9/

Für die älteren Versionen haben wir die Zip-Archive 1.9.2j und 2.0.14 erstellt. Sie finden sie unter http://files.spip.org/archives

----------------------------------

-------- Original Message --------
Subject: [Spip] SPIP 2.1.9
Date: Fri, 25 Mar 2011 17:23:04 +0100
From: Ben. <ben@rezo.net>
To: spip@rezo.net

Bonjour,

nos services (merci encore une fois Arnault) viennent de découvrir un
trou de sécurité dans SPIP, permettant une injection de type
cross-site-scripting (XSS).

L'erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005),
il est clair que TOUTES les versions de SPIP sont touchées.

Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html,
qui se trouve dans le répertoire
  * dist/ en version SPIP 1.9
  * squelettes-dist/ en version SPIP 2.0 ou 2.1
  * extensions/dist_2007/ en version de dev

Si vous avez personnalisé ce squelette, le correctif consiste
simplement à supprimer étoile et filtre pour transformer l'expression
#ENV*{erreur}|propre en #ENV{erreur}.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d'envoyer un email
à spip-team plop rezo.net ( remplacer le plop par @ ).
N'hésitez pas à utiliser les différents moyens mis à disposition pour obtenir
de l'aide sur cette migration :
liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
forum : http://forum.spip.org/
irc : http://spip.net/irc

Comment mettre à jour ?

Comme d'habitude, plusieurs possibilités pour la mise à jour :

1. l'écran de sécurité ; si vous n'avez pas le temps de faire tout
de suite une mise à jour complète, vous pouvez sécuriser en deux
minutes votre site en téléchargeant la version 1.0.1 de l'écran
de sécurité, et en la déposant dans votre répertoire config/
cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l'adresse http://ADRESSE_DU_SITE/spip_loader.php
pour installer SPIP 2.1.9

3. par FTP : SPIP 2.1.9 est disponible à l'adresse
http://files.spip.org/spip/stable/

4. et bien sûr par SVN ;
faites simplement svn up
dans la branche 2.1 : svn://trac.rezo.net/spip/branches/spip-2.1
dans la branche stable : svn://trac.rezo.net/spip/branches/spip-2-stable/
dans le tag : svn://trac.rezo.net/spip/tags/spip-2.1.9/

Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14
que vous trouverez sur http://files.spip.org/archives
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
http://archives.rezo.net/spip.mbox/

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Christoph_Stahl · Mars 28, 2011, 2:52

Hi everyone

i upgraded to SPIP 2.1.9 from 2.1.0

and now in my Code a #GET{something} removes a space behind it if there is one. Every other character is fine. Anyone having the problem too?

best regards
Christoph Stahl

--

______________________________________________________________
Christoph Stahl_Culture Identity_Print_Web_Rettungsgestaltung_
ADRESSE GEAENDERT_Marktstraße 16_31319 Sehnde_Tel 05138-702805