[spip-dev] * Annonce importante securite SPIP *

SPIP -- ANNONCE IMPORTANTE

gzip: stdin: decompression OK, trailing garbage ignored
spip_test_dirs.php3
tar: Le processus enfant a retourné le statut 2
tar: Statut d'erreur reporté d'erreurs précédentes.

C'est grave, docteur ? Je vais essayer le .zip.

Après quelques essais :

1. Archive zip
Ne fonctionne pas, tant pis !

2. Archive tgz

a. Sous Linux :
a1. ligne de commande
gzip -d SPIP-1.3.2.tgz
tar -xf SPIP-1.3.2.tar
OK pour moi

a2. plus simple, la commande Unarc de filerunner

b. Sous Window$ :
b1. avec Winzip
ouvrir SPIP.1.3.2.tgz, extraire
puis ouvrir SPIP 1.2.3.tar et extraire
ne pas essayer d'extraire sans "ré-ouvrir" SPIP-1.3.2.tar
Petit détail (amusant ? inquiétant ?) la taille des fichiers est plus grande
mais les fichiers sont apparemment identiques (ouvert 2 ou 3 avec un éditeur de texte puis sauvegardé sans faire de modif -> retrouvé la taille 'correcte')

b2. avec Winrar
extraire de SPIP 1.3.2.tgz puis extraire de SPIP-1.3.2.tar
Apparemment sans problèmes

Note :
Window$ NT 4 spack 6 sous émulation VMware

c. Reprendre simplement le fichier incriminé
Plus simple
..... si on est sur que le reste est à jour

Bonsoir,

Peut-on avoir plus de détails ?
Est-ce spip le problème ou simplement PHP ?

Si vous voulez bien éclairer ma lanterne... d'avance merci.

SPIP -- ANNONCE IMPORTANTE

####################################################################

Un *gros* trou de sécurité a été découvert dans SPIP ; sont
concernées toutes les versions jusqu'à la 1.4a10 comprise.

Ce bug pourrait mettre en péril votre site (effacement de fichiers)
voire même d'autres sites situés sur le même serveur.

Pour boucher le trou rapidement : effacez le fichier spip_image.php3
(vous ne pourrez plus ajouter de logos ni d'images, mais le reste
devrait fonctionner).

La version "officielle" de SPIP-1.3 est désormais la 1.3.2, disponible
sur http://rezo.net/spip-dev/DISTRIB/ (la version pour spip_loader.php3
y sera prochainement installée)

Cette version 1.3.2 n'a donc plus la trou de sécurité, et donc le
téléchargement d'image n'y est plus inclu ou alors cette fonction est-elle
sécurisée??

Pour une mise à jour rapide vous pouvez aussi télécharger le fichier
spip_image.php3 corrigé de la version 1.3.2
http://rezo.net/spip-dev/DISTRIB/

Euh ton fichier zip de l 3.2 est pas bon....Ou alors c'est moi qui déconne!

Guillaume

--On Friday, March 08, 2002 02:16:54 PM +0100 Guillaume JAN <gj@oggam.org> wrote:

SPIP -- ANNONCE IMPORTANTE

####################################################################

Un *gros* trou de sécurité a été découvert dans SPIP ; sont
concernées toutes les versions jusqu'à la 1.4a10 comprise.

Ce bug pourrait mettre en péril votre site (effacement de fichiers)
voire même d'autres sites situés sur le même serveur.

Pour boucher le trou rapidement : effacez le fichier spip_image.php3
(vous ne pourrez plus ajouter de logos ni d'images, mais le reste
devrait fonctionner).

La version "officielle" de SPIP-1.3 est désormais la 1.3.2, disponible
sur http://rezo.net/spip-dev/DISTRIB/ (la version pour spip_loader.php3
y sera prochainement installée)

Cette version 1.3.2 n'a donc plus la trou de sécurité, et donc le
téléchargement d'image n'y est plus inclu ou alors cette fonction est-elle
sécurisée??

Apparemment sécurisée

Pour une mise à jour rapide vous pouvez aussi télécharger le fichier
spip_image.php3 corrigé de la version 1.3.2
http://rezo.net/spip-dev/DISTRIB/

Euh ton fichier zip de l 3.2 est pas bon....Ou alors c'est moi qui
déconne!

Confirme pour le zip, par contre le .tgz est OK

Guillaume

_______________________________________________
spip mailing list
spip@rezo.net
http://listes.rezo.net/mailman/listinfo/spip

Paul-Philippe Schwab
Remparts 30
1422 GRANDSON

tel : 024 445 56 43

From vincent@liddell-prod.com Fri Mar 8 14:32:52 2002

Return-Path: <vincent@liddell-prod.com>
Received: from master (ATuileries-101-2-3-197.abo.wanadoo.fr
  [193.253.210.197])
  by miel.brainstorm.fr (Postfix) with ESMTP id 395F01BF6D
  for <spip@rezo.net>; Fri, 8 Mar 2002 14:32:52 +0100 (CET)
Received: by (Exim 3.12 #1 (Debian))
  id 16jKbt-0004LI-00
  for <spip@rezo.net>; Fri, 08 Mar 2002 14:40:37 +0100
Message-ID: <01af01c1c6a6$2fdf2af0$2790a8c0@vincent>
From: "Vincent Mazalaigue" <vincent@liddell-prod.com>
To: "spip" <spip@rezo.net>
References:
  <20020308123335.GQ4874@rezo.net><00cd01c1c6a3$84522770$1e010b0a@oggamlocal.fr>
  <744730000.1015594129@HolyGraal>
Subject: Re: [Spip] * Annonce importante securite SPIP *
Date: Fri, 8 Mar 2002 14:36:01 +0100
MIME-Version: 1.0
Content-Type: text/plain;
  charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6700
Sender: spip-bounces@rezo.net
Errors-To: spip-bounces@rezo.net
X-BeenThere: spip@rezo.net
X-Mailman-Version: 2.1a4+
Precedence: bulk
List-Help: <mailto:spip-request@rezo.net?subject=help>
List-Post: <mailto:spip@rezo.net>
List-Subscribe: <http://listes.rezo.net/mailman/listinfo/spip&gt;,
  <mailto:spip-request@rezo.net?subject=subscribe>
List-Id: SPIP : questions/reponses <spip.rezo.net>
List-Unsubscribe: <http://listes.rezo.net/mailman/listinfo/spip&gt;,
  <mailto:spip-request@rezo.net?subject=unsubscribe>
List-Archive: Discuter chez rezo.net
X-List-Received-Date: Fri, 08 Mar 2002 13:32:52 -0000
Status: O
Content-Length: 1930
Lines: 74

Comment se fait-il que l'annonce n'existe pas sur le site ???

----- Original Message -----
From: "Paul-Philippe Schwab" <schwab@jeuderole.ch>
To: "Guillaume JAN" <gj@oggam.org>; <spip@rezo.net>
Sent: Friday, March 08, 2002 2:28 PM
Subject: Re: [Spip] * Annonce importante securite SPIP *

--On Friday, March 08, 2002 02:16:54 PM +0100 Guillaume JAN <gj@oggam.org>
wrote:

SPIP -- ANNONCE IMPORTANTE

####################################################################

Un *gros* trou de sécurité a été découvert dans SPIP ; sont
concernées toutes les versions jusqu'à la 1.4a10 comprise.

Ce bug pourrait mettre en péril votre site (effacement de fichiers)
voire même d'autres sites situés sur le même serveur.

Pour boucher le trou rapidement : effacez le fichier spip_image.php3
(vous ne pourrez plus ajouter de logos ni d'images, mais le reste
devrait fonctionner).

La version "officielle" de SPIP-1.3 est désormais la 1.3.2, disponible
sur http://rezo.net/spip-dev/DISTRIB/ (la version pour spip_loader.php3
y sera prochainement installée)

Cette version 1.3.2 n'a donc plus la trou de sécurité, et donc le
téléchargement d'image n'y est plus inclu ou alors cette fonction est-elle
sécurisée??

Apparemment sécurisée

Pour une mise à jour rapide vous pouvez aussi télécharger le fichier
spip_image.php3 corrigé de la version 1.3.2
http://rezo.net/spip-dev/DISTRIB/

Euh ton fichier zip de l 3.2 est pas bon....Ou alors c'est moi qui
déconne!

Confirme pour le zip, par contre le .tgz est OK

Guillaume

_______________________________________________
spip mailing list
spip@rezo.net
http://listes.rezo.net/mailman/listinfo/spip

Paul-Philippe Schwab
Remparts 30
1422 GRANDSON

tel : 024 445 56 43
_______________________________________________
spip mailing list
spip@rezo.net
http://listes.rezo.net/mailman/listinfo/spip

At 14:36 08/03/02 +0100, you wrote:

Comment se fait-il que l'annonce n'existe pas sur le site ???

parce que tu n'as pas été assssez rapide pour le faire ;-))))

En réponse à desoxy <desoxy@lautre.net>:

At 14:36 08/03/02 +0100, you wrote:
>Comment se fait-il que l'annonce n'existe pas sur le site ???

parce que tu n'as pas été assssez rapide pour le faire ;-))))

_______________________________________________
spip mailing list
spip@rezo.net
http://listes.rezo.net/mailman/listinfo/spip

et toc....

From tlesterlin@bubbleweb.net Fri Mar 8 14:53:28 2002

Return-Path: <tlesterlin@bubbleweb.net>
Received: from mel-rto7.wanadoo.fr (smtp-out-7.wanadoo.fr [193.252.19.26])
  by miel.brainstorm.fr (Postfix) with ESMTP id 39C3C1CF8A
  for <spip@rezo.net>; Fri, 8 Mar 2002 14:53:27 +0100 (CET)
Received: from mel-rta4.wanadoo.fr (193.252.19.58) by mel-rto7.wanadoo.fr;
  8 Mar 2002 14:53:27 +0100
Received: from bubbleweb.net (80.14.114.223) by mel-rta4.wanadoo.fr;
  8 Mar 2002 14:52:54 +0100
Message-ID: <3C88C18B.2070305@bubbleweb.net>
Date: Fri, 08 Mar 2002 14:50:04 +0100
From: Tony LESTERLIN <tlesterlin@bubbleweb.net>
Organization: BUBBLEWEB
User-Agent: Mozilla/5.0 (Windows; U; Win98; fr-FR;
  rv:0.9.2) Gecko/20010726 Netscape6/6.1
X-Accept-Language: fr-fr
MIME-Version: 1.0
To: desoxy <desoxy@lautre.net>
Cc: Vincent Mazalaigue <vincent@liddell-prod.com>, spip@rezo.net
Subject: Re: [Spip] * Annonce importante securite SPIP *
References: <20020308123335.GQ4874@rezo.net>
  <00cd01c1c6a3$84522770$1e010b0a@oggamlocal.fr>
  <744730000.1015594129@HolyGraal>
  <5.1.0.14.2.20020308144223.009faec0@pop3.lautre.net>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Sender: spip-bounces@rezo.net
Errors-To: spip-bounces@rezo.net
X-BeenThere: spip@rezo.net
X-Mailman-Version: 2.1a4+
Precedence: bulk
List-Help: <mailto:spip-request@rezo.net?subject=help>
List-Post: <mailto:spip@rezo.net>
List-Subscribe: <http://listes.rezo.net/mailman/listinfo/spip&gt;,
  <mailto:spip-request@rezo.net?subject=subscribe>
List-Id: SPIP : questions/reponses <spip.rezo.net>
List-Unsubscribe: <http://listes.rezo.net/mailman/listinfo/spip&gt;,
  <mailto:spip-request@rezo.net?subject=unsubscribe>
List-Archive: Discuter chez rezo.net
X-List-Received-Date: Fri, 08 Mar 2002 13:53:28 -0000
Status: O
Content-Length: 470
Lines: 21

moi, de mon petit cot=E9, j'ai fais une annonce sur le forum d'Amen. C'es=
t=20
le minimum que je puisse faire.

desoxy wrote:

At 14:36 08/03/02 +0100, you wrote:
=20

Comment se fait-il que l'annonce n'existe pas sur le site ???

=20
=20
parce que tu n'as pas =E9t=E9 assssez rapide pour le faire ;-))))
=20
=20
_______________________________________________
spip mailing list
spip@rezo.net
http://listes.rezo.net/mailman/listinfo/spip
=20
=20

est-ce que c'est en rapport avec le trou de sécu récent découvert dans
les fonctions d'upload de PHP ?

Salut,

La version 1.3.2 est maintenant disponible en installation automatique
(spip_loader.php3).

J'en profite pour préciser que le trou colmaté dans cette version
n'a rien à voir avec le trou récemment découvert dans PHP. Si vous
n'avez pas de chance, ça vous fait un double trou, donc.

a+

Antoine.