(reprise texto d’un mail sur spip-ann)
Bonjour,
un grave problème de sécurité vient de nous être signalé ; ce problème
affecte toutes les versions de SPIP 2.0.x jusqu’à SPIP 2.0.8, ainsi
que la branche 1.9. Il permet à un attaquant ne disposant d’aucun mot
de passe de prendre le contrôle de votre site SPIP et de votre serveur
web.
L’alerte est d’autant plus sérieuse que le « trou » n’a pas cette fois
été découvert par un « gentil », mais par un véritable « méchant » qui a
pris le contrôle d’un site existant pour y insérer des malware.
Correctifs
Nous publions donc aujourd’hui deux versions de maintenance de SPIP,
qui corrigent ce bug :
- SPIP 2.0.9, dernière version stable et officielle, qui contient,
outre la correction de ce problème de sécurité, quelques
améliorations, listées ci-dessous.
- SPIP 1.9.2i, version de maintenance de la branche 1.9.2
à télécharger sur
=> http://files.spip.org/spip/stable/
=>http://files.spip.org/spip/archives/ (pour la version 1.9.2i)
ou, si vous utilisez spip_loader, en vous rendant à l’adresse
=> http://xxx.example.tld/spip_loader.php
Pour les spécialistes, le patch de sécurité stricto sensu pour la
branche 2.0.x, qui ne corrige aucun autre bug et n’apporte aucune
autre fonctionnalité, peut se trouver ici :
http://fil.rezo.net/secu-14346-14350+14354.patch
Il s’agit des révisions [14347] [14348] [14349] [14350] et [14354].
Pour la branche 1.9.2x le patch est ici :
http://trac.rezo.net/trac/spip/changeset/14354/branches/spip-1.9.2
Ecran de sécurité
Si vous n’avez pas la possibilité de procéder à la mise à jour
complète tout de suite, nous vous invitons à colmater sans attendre le
problème en installant sur votre site l’« écran de sécurité », que
vous pouvez découvrir à l’adresse :
http://www.spip.net/fr_article4200.html
Cet écran permet de bloquer une éventuelle attaque sans pour autant
devoir mettre à jour les fichiers de SPIP.
Crédits
L’attaque a été détectée et analysée par Thomas Sutton et Pierre Rousset.
Nous vous rappelons que le meilleur moyen pour nous signaler un problème
de sécurité est d’envoyer un mail à la liste spip-team arobize rezo.net
Discussions par date d’activité
40 discussions
Mince, j’ai encore oublié de préciser la version de spip.
Je suis en spip 2.0.7.
C’est la raison pour laquelle je m’interroge sur l’emplacement du fichier...
Ma question reste donc entière
Cordialement,
hleb
mais c’est clairement expliqué sur la page http://www.spip.net/fr_article4200.html :
Répondre à ce message
J’ai un doute ?
Où faut il placer le fichier ecran_securite.php ? Dans le répertoire config ? ou à la racine du site ?
hleb
en spip 2.0.9, tu as juste à déposer ecran_securite.php dans le répertoire config/ et c’est tout.
pour tester, tu peux appeler en url http://mon_site.fr/ ?test_ecran_securite=1 (ou encore http://mon_site.fr/ ?page=sommaire&test_ecran_securite=1)
tu devrais alors avoir l’affichage d’une page erreur :
Error 503
You are not authorized to view this page (test 0.8)
« (test 0.8) » étant la preuve de l’activité de l’écran
Répondre à ce message
Bonjour,
J’ai mon php qui est un rouillé...
- J’ai inséré entre mes balises php de mon fichier « mes_options » la commande
- J’ai inséré le fichier ecran_securite
Que dois je faire maintenant pour vérifier son bon fonctionnement ?
Si je tape http://.../spip.php echelle=<, j’obtiens une erreur 404
Merci par avance pour votre aide
hleb
PS : mon site est hébergé chez free.
Répondre à ce message
Bonjour,
nous avons installé l’écran sur un serveur où il y a des versions 1.8.3b, 1.9.2g, 1.9.2h, 1.9.2i, 2.0.3 et 2.0.9 de SPIP
J’ai essayé sur différents sites le test « spip.php ?echelle=< »
pour les sites en version 1.9.2x ou 2.0.x, je reste sur la page d’accueil.
pour les 1.8.3b, le fichier spip.php n’existe pas (erreur 404 classique).
Pas de différence avec le « ?echelle=< » ou pas.
Comment vérifier que l’écran est bien installé ?
Merci pour l’aide !
Ce que tu décris est signe qu’il est mal installè !
Répondre à ce message
J’ai installé 2.0.9, mais impossible d’entrer dans ecrire, pour faire la mise à jour et remettre le site en fonction. Il ne détecte pas le login, même après vérification par courriel ( pass oublié ). j’ai déjà détecté le problème en local, il suffisait de changer le début de l’adresse ( genre 127.x.x.x , alors qu’il fonctionnait sur 192.x.x.x ! ).
Comment entrer dans l’espace privé ?
Merci
A noter que je suis passer de 1.9.2d à 2.0.9
Répondre à ce message
Bonjour,
J’ai voulu upgrader la version 2.0.8 à la 2.0.9 via « spip_loader.php » que j’ai placé à la racine de mon site (site en local) et j’ai eu des tonnes d’erreurs du genre :
Warning : rename(./zip_314674a81575b49421/CHANGELOG.txt,.//CHANGELOG.txt) [function.rename] : File exists in D :\...\site_spip\spip_loader.php on line 125
Pouvez-vous me dire d’où peut venir le problème ?
Merci
Bonjour, j’ai la version 2.03, savez vous si il est possible de passer directement à la 2.09
Merci
A+isa
normalement oui,
comme d’habitude, fait une sauvegarde avant
Répondre à ce message
Bonjour j’ai installé l’« ecran de sécurité ».
Lorsque je test « /spip.php ?echelle=< » j’obtient : You are not authorized to view this page (echelle)
est-ce normal, l’écran de sécurité est-il bien installé ?
Cordialement,
> Lorsque je test « /spip.php ?echelle=< » j’obtient : You are not authorized to view this page (echelle)
> est-ce normal, l’écran de sécurité est-il bien installé ?
Oui, c’est OK, c’est le message que j’ai aussi, et qui provient bien du fichier ecran_securite.php (ligne 151 dans mon cas).
Le coup du No Thanks doit etre une version precedente du meme truc, j’imagine...
A noter que j’avais le fichier mes_options.php dans le repertoire « ecrire », et le fait d’en creer un autre dans le repertoire « config » ne fonctionnait pas. Je pense que le celui du repertoire « ecrire » etait pris en compte en priorite (cf http://www.quesaco.org/Ou-placer-me...).
J’ai donc garde le fichier mes_options.php de « config » uniquement, et ca marche.
Répondre à ce message
Bonjour, je viens de transférer par ftp la mise à jour pour passer de la version 2.0.8 à la 2.0.9. Ca c’est fait.
Quand je vais sur« .../spip.php ?echelle= »
Je reste sur la page d’accueil et ne voit pas de No Thanks.
J’ai cherché le fichier mes_options.php dans ecrire et config mais je n’en ai visiblement pas.
Dois-je le créer ?
Merci
essaye avec ../spip.php ?echelle=<
avec le < à la fin, j’ai installé une version 2.09 sur une 2.08 et ça marche chez moi.
Yannick
Répondre à ce message
les vieilles versions en 1.8 sont elles aussi concernées ?
Non, la présente faille touche du code et des fonctionnalités ajoutées sur les branches 1.9 et 2.0, et ne concerne donc pas les version 1.8 et antérieures.
Néanmoins, il est utile de rappeler que ces versions ne sont pas exemptes de défauts de sécurité qui ont pu être corrigés lors du développement des branches récentes.
Il est conseillé, a minima, de deployer l’ecran de sécurité sur les sites qui utilisent ces vieilles versions.
Répondre à ce message
Pour les « anciennes » versionns en 1.9.2h
j’ai extrait un diff avec la 1.9.2h ;
mais j’ai du aussi corriger la svn et ecrire/inc-version.php
je joins le ZIP (dé-suffixer .jpg)
(comme l’ont fait remarquer déjà plusieurs, c’est bien pratique et rapide ; merci a TC !!)
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |