[spip-dev] SPIP 2.1.8 : Mise à jour importante

ben · Janvier 14, 2011, 2:43

Bonjour,

une faille nous a été signalée hier matin (13 janvier 2011).

Nous attirons votre attention sur le fait que, contrairement aux
précédentes, cette faille est CRITIQUE. Tous les sites sous SPIP sont
concernés, quels que soient leurs réglages. Les conséquences en cas
d'attaque peuvent aller jusqu'à la destruction des fichiers du site et
de sa base de données.

Cette faille concerne toutes les versions 2.0.x et 2.1.x de SPIP,
jusqu'à la version 2.1.6 parue le 6 janvier 2011.

Une nouvelle version stable vient d'être publiée : SPIP 2.1.8

Nous vous recommandons FORTEMENT de mettre à jour SPIP sur votre
serveur. Mais si vous n'avez pas le temps de le faire immédiatement,
prenez tout de même deux minutes pour mettre à jour (ou installer)
l'écran de sécurité, dont la version 0.9.7 bloquera une éventuelle
attaque via cette faille. (voir les liens ci-dessous.)

Nous remercions Arnaud Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d'envoyer un
email à spip-team@rezo.net

N'hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l'aide sur cette migration :
liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
forum : http://forum.spip.org/
irc : http://spip.net/irc

Comment mettre à jour ?

equipement · Janvier 17, 2011, 10:27

Bonjour,

La version 1.8.3 de SPIP est-elle concernée par cette vulnérabilité ?

Equipement

epilibre · Janvier 17, 2011, 12:30

Bonjour,

il me semble que la version 1.8.3 n’est plus maintenue depuis longtemps.
Il est fort probable qu’elle puisse comporter des bugs non corrigés. Je conseillerais vivement de mettre à jour le site.

.Gilles

2011/1/17 Equipement <Christophe.Imberti@developpement-durable.gouv.fr>

Z_vjt · Janvier 17, 2011, 1:18

Bonjour,

S'il s'agit de Giseh, je suppose que la mise à jour va être difficile
Par contre, à ce que je lis sur l'écran de sécurité, celui-ci est compatible
avec tous les SPIP, même les plus anciens :

"Il s’agit d’un fichier php unique et séparé de SPIP, que l’on peut mettre à
jour indépendamment du reste du code, et qui est compatible avec toutes les
versions de SPIP, même les plus anciennes."

Donc ça ne mange pas de pain de le mettre...

3c28660158d1d8be67ae · Janvier 17, 2011, 1:42

Voir la page http://www.spip.net/fr_article4200.html sur l'écran de sécurité

equipement · Janvier 17, 2011, 1:50

Ma question portait sur la vulnérabilité de SPIP 1.8.3 et non pas sur l'écran de
sécurité.

Z_vjt · Janvier 17, 2011, 1:56

Certes, mais sauf erreur, l'écran permettrait de protéger une instance de SPIP
1.8.3 de cette vulnérabilité, si toutefois le but recherché est bien de protéger
ces sites...

Selon Equipement <Christophe.Imberti@developpement-durable.gouv.fr>:

cerdic · Janvier 17, 2011, 2:14

La vulnérabilité précise corrigée par la version 2.1.8 ne concerne que les versions de SPIP >= 2.0

Il serait cependant périlleux de prétendre que ces anciennes versions 1.8.x et 1.9.x sont moins vulnérables.

Même si nous essayons de les inclure dans notre process de mise à jour lorsque des failles graves sont portées à notre connaissance et qu'elles sont concernées,
il faut être conscient que ces versions anciennes font forcément l'objet de moins d'attention,
que nous ne les utilisons plus et donc nous ne sommes plus susceptibles de voir des failles.

Mettre à jour ces vieilles versions serait une sage précaution.

Cédric