SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

286 Plugins, 197 contribs sur SPIP-Zone, 190 visiteurs en ce moment

Accueil > Vie de SPIP et autour de SPIP > SPIP-core > Archives SPIP-Core > Alerte Sécurité SPIP [2]

Alerte Sécurité SPIP [2]

4 février 2006 – par L’équipe de SPIP-Contrib – 31 commentaires

Toutes les versions de cet article : [Español] [français]

Un important trou de sécurité vient d’être détecté dans SPIP ; il affecte toutes les versions disponibles, sur tous les systèmes et dans toutes les configurations.
Un complément a été ajouté au patch le 04/02/2006
-> la dernière version sûre est la 1.8.2g
Procédure de mise à jour

Un complément a été ajouté au patch le 04/02/2006

-> la dernière version sûre est la 1.8.2g

Il convient de mettre à jour votre site le plus tôt possible.

La nouvelle version stable est la 1.8.2g, que vous pouvez récupérer :

-   En téléchargeant le paquet zip à l’adresse habituelle.

http://www.spip.net/fr_download

-  Ou, si vous avez utilisé la méthode d’installation « spip-loader »., en vous rendant à l’adresse

http://MON-SITE/spip_loader.php3

Les seuls fichiers modifiés entre la 1.8.2e (précédente version stable) et la 1.8.2g (version stable courante) sont les suivants :

  • formulaires/inc-login_public.php3
  • formulaires/inc-formulaire_forum.php3
  • formulaires/inc-formulaire_inscription.php3
  • formulaires/inc-formulaire_signature.php3
  • formulaires/inc-formulaire_site.php3
  • inc-messforum.php3
  • inc-balises.php3
  • ecrire/inc_version.php3 (qui permet d’afficher le numéro de version 1.8.2g)

En savoir plus sur les modalités de mise à jour

Si vous souhaitez ne mettre à jour que les fichiers modifiés depuis la version 1.8.2e :

Zip - 35.8 ko
Patch de mise à jour 1.8.2e-> 1.8.2g
version standard en .php3
valalble aussi depuis la 1.8.2f
pour les versions antérieures : mise à jour complète nécessaire

patch 1.8.2e -> 1.8.2g (.php3)

Pour un un spip 1.8.2e en version .php au lieu de .php3

Zip - 35.5 ko
patch 1.8.2e -> 1.8.2g (.php)

P.-S.

La version de développement « SVN » a elle aussi été corrigée de ce bug, mais elle n’est évidemment pas recommandée « en production »

bien qu’elle fasse déjà tourner quelques sites connus de la communauté :-)

En cas de doute ou si vous rencontrez le moindre pépin, rendez-vous sur la liste des utilisateurs, spip@rezo.net

Dernière modification de cette page le 27 janvier 2008

Retour en haut de la page

Tout afficher

Vos commentaires

  • Le 12 septembre 2006 à 08:51, par Developpeur En réponse à : Alerte Sécurité SPIP [2]

    Bonjour,

    Je suis nouveau parmis vous, je decouvre SPIP 191, et j’ai vu ce message, alors voila, qu’en est il pour SPIP 191 ?

    • Le 21 octobre 2006 à 17:35, par Maïeul En réponse à : Alerte Sécurité SPIP [2]

      Pas de probleme. Comme son numéro l’indique, spip 1.9.1 est posterieur à Spip 1.8.2g , donc pas de soucis à te faire ;-)

    Répondre à ce message

  • Le 9 mars 2006 à 21:29, par PériGraphiste En réponse à : Alerte Sécurité SPIP [2]

    C’est la première fois que je souhaite installer SPIP. J’ai téléchargé la version SPIP-v1-8-2-g.zip puis, comme j’avais le message ci-dessous, j’ai supprimé tous les fichiers installés sur mon FTP et j’ai essayé l’installation automatique avec le fichier spip_loader.php3 mais le même message s’affiche quand je lance l’installation en cliquant sur « commencer... » :

    Fatal error : Call to unsupported or undefined function foreach() in inc_version.php3 on line 72

    Je remercie par avance les personnes qui voudront bien m’aider à résoudre ce problème afin que je puisse découvrir ce gestionnaire de contenus Web.

    PériGraphiste

    PS : je travaille sur Mac.

    • Le 9 mars 2006 à 21:35, par RealET En réponse à : Alerte Sécurité SPIP [2]

      Un petit de google sur : spip 1and1 et tu auras la solution.

    • Le 6 juillet 2006 à 17:04, par artauds En réponse à : pb install spip sur 1and1

      Bonjour à tous, je galère comme un fou à installer spip. Je ne comprend pas, quand je vais sur http://monsite/, j’obtient la liste des fichiers contenu sur le serveur, ensuite lorsque je clique sur un fichie php ou php3 j’ai une erreur 404 ! J’ai essayé plusieurs manipes vu sur le net, mais rien n’y fait !

      QUE FAIRE ?

      si quelqu’un peut m’aider, svp !
      Merci.

    Répondre à ce message

  • Le 6 février 2006 à 15:33, par erational En réponse à : version 1.8.2g

    comme je ne les ai pas trouvé ailleurs, si cela peut aider, voici les version 1.8.2g en version complète PHP (spip182e + maj 182e->g) :

    -  SPIP 1.8.2g (php) (2.3 Mo)
    -  SPIP 1.8.2g monolingue francais(php) (1.0 Mo)

    • Le 12 mars 2006 à 18:32, par erational En réponse à : version 1.8.2g

      comme cegetel ferme les espaces perso sans notifications d’une façon autoritaire, voici un endroit plus stable où trouver les 1.8.2g et 1.8.3 en version php

      http://spip.monade.net/

    Répondre à ce message

  • Le 2 mars 2006 à 09:08, par Eric02 En réponse à : Alerte Sécurité SPIP [2] à modifier pour site chez Online

    apres avoir « bouclé » en rond, puis avec le concours de Christophe et Jean Michel.

    Un site placé chez Online m’envoyait des erreurs 302 de façon systématique.
    Il faut modifier la fonction redirige_par_entete, définie dans le fichier
    inc_version.php

    // envoyer le navigateur sur une nouvelle adresse
    //function redirige_par_entete($url) {
    //        header("Location: $url");
    //        spip_log("redirige $url");
    //        http_status(302);
    //        spip_header("Location: $url");
    //        exit;
    //}

    par

    // fonction redefinie sleepr_fr
    function redirige_par_entete($url) {
       spip_header("Refresh: 0; url=" . $url);
       spip_log("redirige $url");
       echo "<html><head>";
       echo "<meta http-equiv='Refresh' content='0; url=".$url."'>";
       echo "</head>\n";
       exit;
    }

    Répondre à ce message

  • Le 28 février 2006 à 11:50, par abach En réponse à : Alerte Sécurité SPIP [2]

    Je viens d’appliquer le correctif en me contentant de la mise à niveau depuis la 1.8.2e. Dans la partie privée de mon site, j’ai toujours marqué 1.8.2e. Est-ce grave, normal ou ai-je fait une boulette ?

    • Le 28 février 2006 à 13:53, par philippe En réponse à : Alerte Sécurité SPIP [2]

      C’est pas « grave » mais pour le coup cela signifie que le fichier inc-version n’est pas passé et si celui-là n’est pas passé la question suivante c’est : est-ce que les autres sont bien passés ? :-)

    • Le 28 février 2006 à 23:06, par abach En réponse à : Alerte Sécurité SPIP [2]

      Je vais refaire le transfert, fichier par fichier, demain matin...

    Répondre à ce message

  • Le 22 février 2006 à 23:39, par equino En réponse à : Alerte Sécurité SPIP [2]

    Bonjour à toutes et tous
    J’ai du louper une étape... mais en quoi consiste ce « trou » de sécurité dans SPIP ?
    C’est à dire quel est l’impact de cette faille sur un site SPIP ?
    (modification des données,prise de contrôle du site, auto-destruction !!!???)
    merci de vos réponses
    Equino

    Répondre à ce message

  • Le 20 février 2006 à 22:35, par Rustine En réponse à : Alerte Sécurité SPIP [2]

    Bonjour,

    Mon site était en 1.8.2e, et j’ai effectué le transfert ftp des fichiers de mise à jour vers la 1.8.2g.
    J’ai pu acceder à mon espace privé, qui m’indique bien le numéro de version 1.8.2g, mais je n’ai pas eu le message :
    « Message technique : la procédure de mise à jour doit être lancée afin d’adapter la base de données à la nouvelle version de SPIP. Si vous êtes administrateur du site, veuillez cliquer sur ce lien. »

    Est-ce normal ?
    Est-ce que la mise à jour corrigeant la faille de sécurité a bien été effectuée ou dois-je recommencer ?

    Merci pour vos reponses,

    Rustine

    • Le 20 février 2006 à 22:43, par Cerdic En réponse à : Alerte Sécurité SPIP [2]

      de 182e vers 182g il n’y a pas de modification de la base, donc c’est tout a fait normal. Le fait que la version soit bien affichee en bas de l’espace privé prouve que la mise a jour a bien été faite.

    • Le 21 février 2006 à 09:55, par Rustine En réponse à : Alerte Sécurité SPIP [2]

      c’est bien ce que pensais, mais je prefère avoir la confirmation,
      merci bcp !

    Répondre à ce message

  • Le 17 février 2006 à 15:53, par Laurent666 En réponse à : Alerte Sécurité SPIP [2]

    Bonjour,
    Plusieurs choses m’étonnet vis à vis des mises à jour de Spip :
    -  la dernière mise à jour (vers la version 1.8.2 e) m’avais fait perdre mon site (ok, j’avais oublié de sauvegarder la base, mais j’ai laissé tomber depuis longtemps l’idée de sauver quoique ce soit avec Spip ou PhpMyAdmin
    -  la nouvelle mise à jour m’a fait perdre mon site à nouveau...

    J’ai un autre site migrer, je me pose la question de la nécessité : dois-je à nouveau tout perdre ?!
    Je pense que je vais attendre une mise à jour du système de mise à jour ?!

    Répondre à ce message

  • Le 15 février 2006 à 12:57, par Richard Bennahmias En réponse à : Alerte Sécurité SPIP [2]

    le site que j’administre est sous 1.8.2 d en php.
    existe-t-il une version 1.8.2 g en php ?
    Et quelles sont les différences entre 1.8.2 d et 1.8.2 g en dehors de la correction de la faille de sécurité signalée.

    Répondre à ce message

  • Le 13 février 2006 à 11:52, par gorbi1 En réponse à : Alerte Sécurité SPIP [2]

    Bonjour à tous,
    Je viens d’effectuer la mise à jour de sécurité en remplacant les anciens fichiers par le pack que vous fournissez plus haut. Mais je n’arive plus à acceder à mon espace privé, ou du moins à y rentrer pour de bon : il m’indique en permanence ce message :

    Message technique :
    la procédure de mise à jour doit être lancée afin d’adapter la base de données à la nouvelle version de SPIP.
    Si vous êtes administrateur du site, veuillez ’cliquer sur ce lien’

    En ’cliquant sur ce lien’, je tombe sur une page ou on m’indique que je dois créer un répertoire avec un nom des plus étranges.. Je le fais mais il ne se passe absolument rien. Le repertoire doit etre creer dans ’ecrire/data’ mais apperement il n’en tient pas compte. Alors que faire ? Merci de vos idées !

    • Le 13 février 2006 à 16:15, par soon7 En réponse à : Alerte Sécurité SPIP [2]

      Le fait de te faire créer un répertoire avec un nom choisi au hasard par spip permet de vérifier que la personne qui essaye de mettre àjour est effectivement la personne gérantle site, et qui a donc accès par ftp au site pour créer un répertoire. Une fois que tu as crée le répertoire qu’il ta demandé, passe ses droits en 777, et normalement ce sera bon !

    Répondre à ce message

Répondre à cet article

Qui êtes-vous ?
  • [Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Ajouter un document

Retour en haut de la page

Ça discute par ici

  • Import ICS 2 (agenda distant)

    2 août – 35 commentaires

    La version 2 du plugin « import ICS » en reprend la principale fonctionnalité, à savoir l’ajout automatique d’évènements distants dans la liste des évènements d’un site. À la différence de la première version, elle ne dépend pas du plugin « Séminaire » et est (...)

  • Newsletters

    16 janvier 2013 – 374 commentaires

    Ce plugin permet de composer des Info-lettres. Par info-lettre, on désigne ici le contenu éditorial qui va être composé et envoyé par courriel à une liste d’inscrits. Le plugin permet de composer une info-lettre à partir d’un modèle pré-composé, (...)

  • CKeditor 3.0

    4 octobre 2009 – 1217 commentaires

    CKeditor est l’évolution de l’éditeur WYSIWYG : FCKeditor, avec ce plugin vous pourrez utiliser cet éditeur à la place de l’éditeur de spip tout en laissant le choix à vos auteurs de l’éditeur qu’ils préfèrent utiliser. Attention : cet éditeur WYSIWYG (...)

  • GIS 4

    11 août 2012 – 1284 commentaires

    Présentation et nouveautés La version 4 de GIS abandonne la libraire Mapstraction au profit de Leaflet. Cette librairie permet de s’affranchir des librairies propriétaires tout en gardant les mêmes fonctionnalités, elle propose même de nouvelles (...)

  • SPIPr

    23 mars 2015 – 75 commentaires

    SPIPr est à la fois une famille de squelettes et un framework pour le développement front avec SPIP. Prêt à l’emploi, thémable, responsive, et conçu dans une approche d’industrialisation et de développement rapide. Documentation source : (...)

Ça spipe par là