SPIP 3.0.21, mise à jour de sécurité

Trois personnes nous ont signalé des failles de type XSS dans SPIP. Elles concernent les sites dont l’inscription est ouverte. Des rédacteurs malveillant pourraient alors en profiter.

Nous sortons donc SPIP 3.0.21 qui corrige ces failles et inclut les correctifs habituels.

Merci à Sébastien Barré, Karim Kechbit et Fabien Abbadie pour les signalements de ces failles. Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

Cerise sur le potiron, nous en profitons pour lancer SPIP 3.1 Release Candidate. En effet, la version SPIP 3.1 est quasiment prête et déjà utilisée par certaines personnes en production sans problème (merci à elles pour leurs nombreux retours). N’hésitez donc pas, si cela vous tente à passer en 3.1, toute régression (s’il y en a) sera rapidement corrigée !

Merci de nous faire parvenir vos derniers retours avant son lancement officiel (via https://core.spip.net/projects/spip/issues/)

Allez comme vous connaissez la syntaxe SPIP, l’annonce est codée en SPIP

{{{SPIP 3.0.21}}}

• Correction de 2 failles XSS
• Pouvoir renseigner la date de rédaction antérieure dès la création
• Correction d’un bug sur les droits des auteur⋅e⋅s sur les documents
• De nombreux bugs ont été corrigés (voir le détail plus bas)

Télécharger SPIP 3.0.21 :
http://files.spip.org/spip/stable/spip-3.0.zip

{{{SPIP 3.1 Release Candidate}}}

• Correction de 2 failles XSS
• Plugin plan ajouté aux plugins-dist
• Peaufinage du thème de l’interface privé
• de nombreuses régressions ont été identifiées et corrigées

Télécharger SPIP 3.1 RC :
http://files.spip.org/spip/archives/SPIP-3.1-RC.zip

{{{Correction de bugs}}}
Quelques bugs corrigés en 3.0 et/ou 3.1, cf https://core.spip.net/projects/spip/issues?query_id=14
-* correction d’un problème avec les mots de passe contenants un espace sous PostgreSQL (3.1)
-* utilisation d’un fichier spécifique pour les logs des autorisations (3.1)
-* correction d’un bug empêchant de passer la valeur 0 dans un champ de formulaire obligatoire (3.0 + 3.1)
-* correction d’un bug dans la purge des sauvegardes automatiques de saisies des formulaires (3.0 + 3.1)
-* correction d’un bug sur la date de modification d’un fil de forum lorsque la modération a priori est active (3.0 + 3.1)
-* correction d’un bug sur le filtre |liens_absolus et les attributs data-src (3.0 + 3.1)
-* correction d’un bug lors de l’utilisation de SPIP derrière Varnish (3.1)
-* amélioration de l’ergonomie du gestionnaire de plugins : quand on active un plugin depuis la page des plugins inactifs on est bien redirigé vers la page des plugins actifs (3.1)
-* correction d’un bug qui générait des erreurs sql dans les logs lors de l’installation (3.1)
-* amélioration du formulaire de modification de date afin qu’il fonctionne sans javascript (3.1)
-* nouvelle couleur par défaut dans l’espace privé (3.1)
-* amélioration du contenu du pipeline post_edition lors de la suppression d’un document (3.1)
-* correction d’un bug lors de l’utilisation des champs dans des boucles (3.1)
-* correction d’un bug sur le filtre |extraire_attribut appliqué aux attributs du type sur xxx-yyy (3.1)
-* correction d’un bug empêchant de prévisualiser un article post-daté (3.1)
-* correction d’un bug avec les hébergeurs qui restreignent l’utilisation de certaines fonctions PHP (ini_set et php_uname) (3.1)
-* correction d’une régression qui empêchait de de définir le jeu de caractères (charset) d’une connexion SQL externe (3.1)
-* correction d’un bug sur les jointures SQL automatiques lors de l’utilisation de la balise #TRI (3.1)
-* correction d’un bug dans le formulaire de redirection d’article (3.1)
-* correction d’un bug qui générait une erreur lors de l’utilisation de l’API SQL dans un formulaire CVT si l’utilisateur n’est pas connecté (3.1)
-* correction d’un bug qui empêchait l’affichage de la barre des raccourcis lors de l’édition en plein écran (3.1)
-* correction d’un bug graphique dans le formulaire de configuration de la boite multimédia (mediabox) (3.1)
-* simplification du message explicatif dans le formulaire de forum lorsque toutes les extensions de ficheirs sont autorisées (3.1)
-* correction d’un bug qui affichait un message d’erreur inadapté lors du référencement automatique d’un site syndiqué (3.1)
-* amélioration de la compatibilité ascendante pour le pipeline jqueryui_plugins (3.1)
-* amélioration des squelettes par défaut pour prise en charge des #LOGO_xxx{left} ou #LOGO_xxx{right}(3.1)
-* correction d’un bug graphique sur le formulaire permettant d’éditer l’url d’un objet (3.1)
-* correction d’un bug sur l’invalidation du find_in_path qui détériorait la performance (3.0 + 3.1)
-* correction d’un bug de dépendance lors de la première installation d’un plugin qui nécessitant un plugin du core (3.0 + 3.1)
-* correction d’un bug d’affichage de la prévisualisation des messages de forum dans l’espace privé (3.1)

{{{Comment mettre à jour ?}}}
N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :
-* Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
-* Forum : http://forum.spip.net
-* IRC : http://irc.spip.net

{{1. par spip_loader.php (dernière version 2.5.5) }}

si vous avez déjà installé spip_loader,
rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP.

Attention cependant : lisez bien les instructions sur
http://www.spip.net/fr_download#spip_loader pour ne pas être
surpris par un passage non voulu de SPIP~2 à SPIP~3.

Tout savoir sur spip_loader:
http://www.spip.net/fr_article5705.html

{{2. par copie des fichiers}}

SPIP 3.0.21 est disponible à l’adresse http://files.spip.org/spip/stable/spip-3.0.zip

{{3.0 par SVN}}

Si vous êtes dans la branche 3.0 ({{svn ://trac.rezo.net/spip/branches/spip-3.0}}) faites simplement un
svn up

{{3.1 par SVN}}

Pour faire un test de la version 3.1
Vous pouvez également l’installer par SVN avec la commande:
svn co svn://trac.rezo.net/spip/spip

{{3.1 par spip_loader}}

En remplaçant
http://zone.spip.org/trac/spip-zone/browser/outils/spip_loader/trunk/spip_loader.php#L31
par:
define(’_CHEMIN_FICHIER_ZIP’, ‹ spip/dev/SPIP-svn.zip ›);

{{{Comment être tenu au courant de ces annonces ?}}}
Le plus simplement du monde en s’inscrivant sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux ne sont pas en reste :
-* Seenthis : http://seenthis.net/people/spip
-* Twitter : http://twitter.com/spip
-* Facebook : http://www.facebook.com/spip.net

Yo tous et toutes !

Il y a eu erreur d’URL du zip de la RC, dans le mail d’annonce… Si c’est déjà corrigé sur le blog de SPIP, c’est évidemment impossible à corriger dans les messages déjà envoyés, ce qui fait autant de personnes mal informées, qui vont devoir chercher…

Pour limiter l’impact de ce type d’erreur, il serait plus judicieux — plutôt que d’envoyer le même texte en plusieurs exemplaires (par mail, blog, contrib, etc.) — de n’envoyer qu’une notification avec lien vers LA source d’information (seule et unique) en ligne.

Si l’on considère que les destinataires du mail d’annonce sont intéressés par le lien vers le zip, qu’on leur envoie, il n’est pas déconnant de penser qu’ils en capacité de cliquer un lien vers un billet de blog (où trouver l’info à jour, fiable et tout).

Je suggère donc :

- UNE source d’information publique (disons le blog, puisqu’il sert à ça et qu’il est désormais multidevice, yihoo)
- des annonces (mail, tweet, etc.), autant qu’on veut, contenant qq lignes explicatives + lien vers la source.
- et relais d'icelui sur les sites de la galaxie (contrib, spip.net, etc. grâce à la syndication RSS) : introduction + lien vers la source.

Qu’en dites-vous ?

— tetue, experte en simplification

Ça ma parait très sensé et pragmatique.
J’approuve.

2015-11-01 14:02 GMT+01:00 tetue@rezo.net <tetue@rezo.net>:

évidemment impossible à corriger dans les messages déjà envoyés

on pourrait tout de même mettre une redirection sur le serveur
files.spip.org !

-- Fil

Ha bas oui on pourrait ! ! !

Faisons ça dès que je trouve un terminal … Pour m eviter de chercher vous le dites quel est le mauvais lien et vers lequel il faut renvoyer ?

Fil a écrit :

Salut,

Le 01/11/2015 09:02, tetue@rezo.net a écrit :

Yo tous et toutes !

Il y a eu erreur d’URL du zip de la RC, dans le mail d’annonce…

Bizarrement, je n’ai pas encore reçu ce message d’annonce, qui n’est pas
non plus visible dans les archives publiques :
  http://archives.rezo.net/archives/spip-ann.mbox/

Pour les URL, ce serait bien de corriger aussi celle de la 3.0 au
passage, en utilisant quelques chose de fixe comme :
  http://files.spip.net/spip/archives/SPIP-v3.0.21.zip

(et directement sur files.spip.*net*, conformément aux liens présents
sur files.spip.*org*…)

- UNE source d’information publique

C’est bien d’avoir une source de référence, mais si elle devient unique,
elle devient une vulnérabilité (SPOF, ou point unique de défaillance).
Un mail, en plus, c’est facile à signer, ce serait l’occasion de s’y
mettre peut-être (et d’indiquer les sommes de contrôle des fichiers à
télécharger du coup).

Sinon, pour les failles de sécurité corrigées à proprement parler, ça
devient un peu difficile à identifier (d’autant plus que la page [1]
dédiée n’a plus l’air maintenue).

  1: http://blog.smellup.net/spip.php?article41&var_mode=preview

Pour l’instant, pour la 3.0, j’ai retenu les corrections suivantes :

http://zone.spip.org/trac/spip-zone/changeset/92236 (report de r92235)
https://core.spip.net/projects/spip/repository/revisions/22449 (22427),
https://core.spip.net/projects/spip/repository/revisions/22450 (22428),
https://core.spip.net/projects/spip/repository/revisions/22451 (22429),

relatifs à https://core.spip.net/issues/3371 si j’ai bien compris, du
coup j’imagine qu’il me manque un correctif, par avance merci de bien
vouloir m’aider à mettre la main dessus.

Par ailleurs, il n’est pas indiqué dans l’annonce si les failles
affectent aussi la version 2.1, est-ce le cas ?

Amicalement

David

Hop,

Le 01/11/2015 17:06, David Prévot a écrit :

Salut,

Le 01/11/2015 09:02, tetue@rezo.net a écrit :

Yo tous et toutes !

Il y a eu erreur d’URL du zip de la RC, dans le mail d’annonce…

Bizarrement, je n’ai pas encore reçu ce message d’annonce, qui n’est pas
non plus visible dans les archives publiques :
  http://archives.rezo.net/archives/spip-ann.mbox/

Les archives sont en vrac d'après ce que me disait Fil. Le mail a bien été validé, peut-être "un délai de livraison" ?

Pour les URL, ce serait bien de corriger aussi celle de la 3.0 au
passage, en utilisant quelques chose de fixe comme :
  http://files.spip.net/spip/archives/SPIP-v3.0.21.zip

Je ne comprends pas, l'url est bien stable (pour la branche stable ^^), elle ne change pas d'une release à une autre (ou alors c'est ça qui est problématique ?).

(et directement sur files.spip.*net*, conformément aux liens présents
sur files.spip.*org*…)

Bien vu, j'ai maj le billet du blog sur ce point.

Sinon, pour les failles de sécurité corrigées à proprement parler, ça
devient un peu difficile à identifier (d’autant plus que la page [1]
dédiée n’a plus l’air maintenue).

  1: http://blog.smellup.net/spip.php?article41&var_mode=preview

Il y a aussi le projet "spip-team" sur core.spip.net :

https://core.spip.net/projects/spipteam

Les tickets à propos des vieilles XSS fermées dernièrement y ont été mis à jour. Je ne sais pas si la page de la taverne sert toujours de référence, denisb ?

Il serait peut-être mieux de tout centraliser sur le projet team dans tes tickets ? Vos avis ?

Pour l’instant, pour la 3.0, j’ai retenu les corrections suivantes :

http://zone.spip.org/trac/spip-zone/changeset/92236 (report de r92235)
https://core.spip.net/projects/spip/repository/revisions/22449 (22427),
https://core.spip.net/projects/spip/repository/revisions/22450 (22428),
https://core.spip.net/projects/spip/repository/revisions/22451 (22429),

relatifs à https://core.spip.net/issues/3371 si j’ai bien compris, du
coup j’imagine qu’il me manque un correctif, par avance merci de bien
vouloir m’aider à mettre la main dessus.

Les autre correctifs sont dans le plugin-dist textwheel, cf :

http://zone.spip.org/trac/spip-zone/changeset/92321
http://zone.spip.org/trac/spip-zone/changeset/92519
http://zone.spip.org/trac/spip-zone/changeset/92520

Par ailleurs, il n’est pas indiqué dans l’annonce si les failles
affectent aussi la version 2.1, est-ce le cas ?

Pas de mention de la 2.1 dans l'annonce, car par de correctifs pour celle-ci (puisque pas de report "simple" possible).

Amicalement

Tout pareil

++
b_b

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Salut,

Le 01/11/2015 14:03, Bruno Bergot a écrit :

Le 01/11/2015 17:06, David Prévot a écrit :

Le 01/11/2015 09:02, tetue@rezo.net a écrit :

Pour les URL, ce serait bien de corriger aussi celle de la 3.0
au passage, en utilisant quelques chose de fixe comme :
http://files.spip.net/spip/archives/SPIP-v3.0.21.zip

Je ne comprends pas, l'url est bien stable (pour la branche stable
^^), elle ne change pas d'une release à une autre (ou alors c'est
ça qui est problématique ?).

Le problème, c’est que c’est un lien vers la dernière version de la
3.0, pas un lien (stable) vers la 3.0.21 comme le texte le prétend.

Une solution alternative serait de corriger le texte (s/SPIP 3.0.21/la
dernière version de SPIP 3.0/), mais un lien vers quelque chose qui
bouge me semble douteux, voire suspect, pour une mise à jour de
sécurité. Simplement ajouter que « la dernière version à jour de SPIP
3.0 est toujours disponible à l’URL suivante […] » permettrait
peut-être de faire plaisir à tout le monde.

(et directement sur files.spip.*net*, conformément aux liens
présents sur files.spip.*org*…)

Bien vu, j'ai maj le billet du blog sur ce point.

Merci. Remarque qu’il y a une autre occurrence de cette URL en fin de
billet.

Il y a aussi le projet "spip-team" sur core.spip.net :

https://core.spip.net/projects/spipteam

Ha oui, merci, je l’oublie tout le temps :/.

Les tickets à propos des vieilles XSS fermées dernièrement y ont
été mis à jour.

[…]

Les autre correctifs sont dans le plugin-dist textwheel

Merci !

Par ailleurs, il n’est pas indiqué dans l’annonce si les failles
affectent aussi la version 2.1, est-ce le cas ?

Pas de mention de la 2.1 dans l'annonce, car par de correctifs
pour celle-ci (puisque pas de report "simple" possible).

Peut-être l’indiquer dans ce cas, quelque chose comme : « Ces failles
de sécurité n’ont pas été corrigées dans la branche 2.1. Comme elles
ne concernent que les sites dont l’inscription est ouverte, vous
devriez mettre à jour vers 3.0.21 si vous dépendez de cette
fonctionnalité. ».

Amicalement

David
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQEcBAEBCAAGBQJWNm1gAAoJEAWMHPlE9r08PUQH/0xSQyHk16P5S7y4htgqSGq3
kRxqt3xTF+qKFnETYvLnp5GwsT+/vWKmghtT+1bSgnGPqcVgUzLON5VTJ3GqxTOp
x13sO3Pn0fqluaCG1ynVcXai3+7alHxjifYFGRN9LUMmHG+mf54Kc1U3Dlu1gWIP
ZYgJle0om5z+6eMFi6SDmXEdKVsE4JxY8E3GytZavkfCsMh1mh87+6Ek5acDbkEw
yv/2Y7oho7kfxxXgzlNSYTM/WXS5EkcegqqSsTUGp0byLdnQ0EFKtxVOMu2pnR2+
Ms6PzjEVW3aUVRKljQrVtS09p9Eonj+ceJ+KNC9hMmIk8EWqrUYHE8r/Nlvrwa0=
=CeFs
-----END PGP SIGNATURE-----

Je n'y pense que maintenant, mais on aurait pu ajouter une note sur le plugin de vérification des plugins :
http://contrib.spip.net/Verifier-ses-plugins-pour-le-passage-a-SPIP-3-1

Peut être pas trop tard pour le blog ?

--
nicod_

Et voilà c’est en place :
le lien dans le mail est ok : http://files.spip.org/spip/archives/SPIP-3.1-RC.zip

Ben.

Hop,

Le 01/11/2015 20:52, David Prévot a écrit :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Le problème, c’est que c’est un lien vers la dernière version de la
3.0, pas un lien (stable) vers la 3.0.21 comme le texte le prétend.

Une solution alternative serait de corriger le texte (s/SPIP 3.0.21/la
dernière version de SPIP 3.0/), mais un lien vers quelque chose qui
bouge me semble douteux, voire suspect, pour une mise à jour de
sécurité. Simplement ajouter que « la dernière version à jour de SPIP
3.0 est toujours disponible à l’URL suivante […] » permettrait
peut-être de faire plaisir à tout le monde.

Oui, ça me parait bien, qu'en pensent les autres ?

Il faut juste ne pas l'oublier, et surtout ne pas oublier de changer le lien en question à chaque release (c'est une source potentielle d'erreur).

(et directement sur files.spip.*net*, conformément aux liens
présents sur files.spip.*org*…)

Bien vu, j'ai maj le billet du blog sur ce point.

Merci. Remarque qu’il y a une autre occurrence de cette URL en fin de
billet.

Corrigé, merci.

Pas de mention de la 2.1 dans l'annonce, car par de correctifs
pour celle-ci (puisque pas de report "simple" possible).

Peut-être l’indiquer dans ce cas, quelque chose comme : « Ces failles
de sécurité n’ont pas été corrigées dans la branche 2.1. Comme elles
ne concernent que les sites dont l’inscription est ouverte, vous
devriez mettre à jour vers 3.0.21 si vous dépendez de cette
fonctionnalité. ».

Je n'ai pas d'avis sur ce point.

++
b_b

>> Par ailleurs, il n’est pas indiqué dans l’annonce si les failles
>> affectent aussi la version 2.1, est-ce le cas ?
>
> Pas de mention de la 2.1 dans l'annonce, car par de correctifs
> pour celle-ci (puisque pas de report "simple" possible).

Peut-être l’indiquer dans ce cas, quelque chose comme : « Ces failles
de sécurité n’ont pas été corrigées dans la branche 2.1. Comme elles
ne concernent que les sites dont l’inscription est ouverte, vous
devriez mettre à jour vers 3.0.21 si vous dépendez de cette
fonctionnalité. ».

Je ne pense pas qu'il faille forcer les utilisateurs à monter de version
leur site SPIP (avec les risques d'incompatibilité que ça peut entrainer)
pour ce seul dernier correctif sur la branche 3.0.
Si cette faille a existé sur la branche 2.1, elle a certainement été
corrigé (sinon il suffit de le signaler et proposer un patch), car la
branche 2.1 reste une branche stable qui est encore maintenue.