SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

286 Plugins, 197 contribs sur SPIP-Zone, 311 visiteurs en ce moment

Accueil > Vie de SPIP et autour de SPIP > SPIP-core > Mise à jour de sécurité SPIP 2.1.9

Mise à jour de sécurité SPIP 2.1.9

25 mars 2011 – par L’équipe de SPIP-Contrib – 11 commentaires

Toutes les versions de cet article : [Español] [français]

21 votes

Bonjour,

nos services (merci encore une fois Arnault) viennent de découvrir un trou de sécurité dans SPIP, permettant une injection de type cross-site-scripting (XSS).

L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005), il est clair que TOUTES les versions de SPIP sont touchées.

Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html, qui se trouve dans le répertoire :

  • dist/ en version SPIP 1.9
  • squelettes-dist/ en version SPIP 2.0 ou 2.1
  • extensions/dist_2007/ en version de dev

Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.9

3. par FTP : SPIP 2.1.9 est disponible à l’adresse http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; faites simplement svn up

  • dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
  • dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
  • sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/

Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14 que vous trouverez sur http://files.spip.org/spip/archives/

Dernière modification de cette page le 26 mars 2011

Retour en haut de la page

Vos commentaires

  • Le 28 mars 2011 à 14:40, par Spip-User En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Suite à cette mise à jour, le message d’erreur qui doit s’afficher (issu du fichier langue public_fr.php par exemple) ne « traduit » plus les caractères accentués :

    1. Il n'y a pas d'article à cette adresse

    Comment faire pour que les caractères accentués passent à nouveau ?

    • Le 3 avril 2011 à 17:49, par Oggiwan En réponse à : Mise à jour de sécurité SPIP 2.1.9

      On peut tenter d’écrire :

      (#ENVerreur

      Mais j’ignore si l’emploi de cette fonction PHP ne réintègre pas la faille corrigée par la mise à jour de sécurité...

    Répondre à ce message

  • Le 30 mars 2011 à 15:14, par Cyril En réponse à : Mise à jour de sécurité SPIP 2.1.9

    D’abord je rejoint le commentaire d’avant. Un grand merci à tous ceux qui travail dans l’ombre pour faire avancer SPIP.

    J’aurai une petite question. Je gére le site internet www.voyagesbaroude.com où il y a un forum les gens peuvent laisser des commentaires à partir d’un article comme là. Je l’ai mis en mode (Modération à priori dans l’espace privé) mais j’ai des commentaires qui sont publiés sans mon aval alors que je suis le seul administrateur du site es-que la faille 404 pourrait y avoir contribué ou ça aucun rapport.

    Merci d’avance pour les réponse

    Cyril

    Répondre à ce message

  • Le 28 mars 2011 à 14:39, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    ok, merci !

    Répondre à ce message

  • Le 28 mars 2011 à 11:23, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    En fait je voulais savoir si l’actualisation suffit ou si on est obligé de modifier également le fichier 404.html customisé ; mais je viens de voir (sur la liste rezo) que l’actualisation suffit , merci.

    • Le 28 mars 2011 à 12:30, par Meuh En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Si tu as un fichier squelettes/404.html, je te conseille de le modifier également !

    • Le 28 mars 2011 à 12:47, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Mais c’est nécessaire ou seulement recommandé ?

      Je demande car j’ai beaucoup de sites à actualiser et si je ne dois pas vérifier à chaque fois si il y a un 404 personnalisé et le modifier, cela m’arrange.

      Rainer

    • Le 28 mars 2011 à 13:36, par Maïeul En réponse à : Mise à jour de sécurité SPIP 2.1.9

      c’est nécéssaire vu que c’est ce code [(#ENV*{erreur}|propre)] qui pose pb.

    Répondre à ce message

  • Le 28 mars 2011 à 10:17, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Dans le cas ou on a personalisé le 404.html , est-ce que une mise à jour suffit, ou doit-on encore modifier le 404.html personnalisé ?

    • Le 28 mars 2011 à 11:02, par Meuh En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

      Ce fichier 404.html est généralement dans squelettes/

    Répondre à ce message

  • Le 28 mars 2011 à 09:22, par Eric En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Merci à l’équipe SPIP, à vous, à nous ! ;-)

    Répondre à ce message

Répondre à cet article

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Ajouter un document

Retour en haut de la page

Ça discute par ici

  • Acces Restreint 3.0

    11 décembre 2008 – 788 commentaires

    Le plugin accès restreint permet de définir et de gérer des zones de l’espace public en accès restreint. Cette version du plugin a été redévelopée et optimisée tout spécialement pour SPIP 2.0. Il en découle une amélioration des performances sur les gros (...)

  • GIS 4

    11 août 2012 – 1304 commentaires

    Présentation et nouveautés La version 4 de GIS abandonne la libraire Mapstraction au profit de Leaflet. Cette librairie permet de s’affranchir des librairies propriétaires tout en gardant les mêmes fonctionnalités, elle propose même de nouvelles (...)

  • Plugin SPIP-Géoportail

    17 août 2010 – 459 commentaires

    Plugin pour l’intégration d’objets géographiques dans SPIP avec l’API Géoportail. Affichage de cartes Géoportail, OpenStreetMap (OSM), Google Maps, Bing ou Yahoo !... Nouvelle version Suite au changement de version de l’API géoportail et des (...)

  • Photoswipe

    18 septembre 2016 – 16 commentaires

    Une lightbox javascript responsive. PhotoSwipe est une boîte multimédia — comme la Mediabox installée en série avec SPIP — qui permet de zoomer à la taille réelle des images et qui gère intelligemment les légendes. Le plugin est basé sur la librairie (...)

  • ScolaSPIP 4

    19 janvier 2016 – 153 commentaires

    ScolaSPIP est plugin-squelette responsive personnalisable pour sites Web d’établissements scolaires basé sur SPIPr Présentation de ScolaSPIP Ce plugin pour SPIP 3 est développé par la Dane de l’académie de Versailles pour les webmestres de cette (...)