Deux failles de sécurité ont été découvertes récemment dans SPIP :
- une faille critique permettant l’injection de code PHP (merci à g0uZ et sambecks, team root-me)
- une faille secondaire permettant l’injection d’objets par unserialize (merci à Gilles Vincent)
Ces failles sont sérieuses et affectent toutes les versions de SPIP.
Il est impératif de mettre à jour votre site SPIP dès que possible.
Pour les sites qui ne peuvent pas être immédiatement mis à jour,
il est nécessaire d’installer la version 1.2.4 de l’écran de sécurité qui corrige la faille critique
Un point important à signaler concernant la branche SPIP 2.1,
c'est que cette nouvelle version 2.1.29 est compatible PHP7,
mais du coup n'est plus compatible avec les versions de PHP n'ayant pas l'interface mysqli,
soit parce qu'elles ne l'avaient pas encore (PHP <= 4) soit parce qu'elles n'ont pas été compilées avec (PHP 5).
Il convient donc de vérifier l'installation de PHP avant de faire la mise à jour, pour éviter de risquer de bloquer le site.
Il suffit peut-être de mettre un message d’erreur dans la fenêtre de login indiquant que le site ne peut fonctionner et qu’il faut revenir à la version précédente.
C’est quand même curieux d’introduire une rupture de compatibilité pour spip 2.1.
Est-ce qu’il ne faudrait pas plutôt que ce soit une version spip 2.2 qui introduirait la compatibilité PHP7 et ajouterait cette nécessité d’avoir une interface mysqli ?
On aurait peut-etre dû, mais maintenant que cette version existe comme ça et qu'on a dit de l'adopter urgemment, je crains qu'un retour en arrière ne fasse qu'accumuler les pbs. Ca ne concerne que des versions non maintenues de PHP, ou la version 5.6 avec une compilation exculant mysqli, ça ne doit pas représenter grand monde. Pour le seconde cas il suffit de recompiler et pour le premier ça fera un argument de plus pour abandonner qqch qui aurait dû l'être depuis longtemps.