Nous remercions Arnault Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.
Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un
email à spip-team@rezo.net
N’hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l’aide sur cette migration :
- liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- forum : http://forum.spip.org/
- irc : http://spip.net/irc
Comment mettre à jour ?
Comme d’habitude, plusieurs possibilités pour la mise à jour :
- L’écran de sécurité : si vous n’avez pas le temps de faire tout de
suite une mise à jour complète, vous pouvez sécuriser en deux minutes
votre site en téléchargeant la version 0.9.7 de l’écran de sécurité,
et en la déposant dans votre répertoireconfig/
.Documentation : cf. http://www.spip.net/fr_article4200.html
Téléchargement : http://zone.spip.org/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt - spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
installer SPIP 2.1.8, et cela lancera la mise à jour de votre site vers spip 2.1.8 - par FTP : SPIP 2.1.8 est disponible à l’adresse
- par SVN : si vous êtes dans la branche 2.1
svn://trac.rezo.net/spip/branches/spip-2.1
faites simplement svn up.
La version 2.1.8 est aussi disponible sous la branchesvn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag svn://trac.rezo.net/spip/tags/spip-2.1.8/
Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. Elle est disponible par FTP sur files.spip.org/archives
Toutes versions : L’écran de sécurité est valable pour toutes les versions de spip.
P.S : et bien sûr pour finir sur une petite note humoristique ... si jamais vous
vous posez la question de savoir où est passée la 2.1.7 la réponse est :
« Un chat s’est baladé sur le clavier et a appuyé sur le bouton de génération des paquets SPIP par mégarde »
Discussions par date d’activité
36 discussions
Bonjour à tous, je cherche à mettre à jour mon site Spip (commencé il n’y a même pas 1 semaine, et il me signale qu’il est impossible d’installer le spip_loader, car un SPIP est déja installé... Comme puis-je faire ?
Merci d’avance à vous !!!
J’ai eu la même chose, mais après, dans l’admin, je vois que c’est bien la nouvelle version qui est là : je suppose donc que cela a marché.
Est-ce une fausse joie et que juste le n° de la version a changé ? Sur Sarka-SPIP, elle est indiquée en clair.
Merci RGV, et effectivement la version de SPIP à changé dans l’admin, après j’espère tout de même que la mise à jour à été effectuée !!! Merci pour ta réponse je n’avais pas vu !!
Bonne soirée !
Un grand merci à toute l’équipe pour sa vigilance ! Que ferions-nous sans Spip ?! Hein ?! La mise à jour depuis 2.1.6 a fonctionné sans problème. Tout est nickel !
Répondre à ce message
J’ai été victime de cette faille et voilà, j’ai tout perdu. Tous les sites (une dizaine) que j’héberge sur mon serveur ont été détruits. Maintenant, on me redirige sur Google.
Samedi, j’avais réussi à remettre les sites à partir d’une copie de sécurité. J’ai installé l’écran de sécurité sur les sites et fait la mise à jour sur 2 autres. La nuit dernière, tout a été détruit de nouveau. Deux choses : soit le hacker a un accès à mes bases MySQL quelque soit la version de spip que j’installe, soit les patch sont inefficaces. Je vais donc devoir tout remettre en place à partir de ma copie de sécurité. J’ai bien peur que cela marque la fin de spip dans mon organisation. J’était le seul à supporter le libre ici.
J’aimerais biens savoir quel est le bénéfices que ces gens qui sabotent les sites reçoivent. Ça me semble totalement gratuit et tout simplement malveillant.
Claude
Attention, lorsqu’un site a été hacké une première fois, il faut impérativement tout vider et changer ses login/mot de passe, y compris la connexion aux bases de données. L’attaquant a en effet pu avoir accès à tes login/mot de passe mysql a la première attaque et s’en servir ensuite, même si la faille de SPIP est fermée. De même il faut être sûr qu’il n’a pas laissé un script lui donnant accès ensuite à ton serveur. D’où le conseil de tout vider avant une réinstallation propre.
Je ne sais pas quelle est la notoriété de tes sites, mais si le hacker revient après que tu aies nettoyé une première fois, cela ressemble à une action délibérée à l’encontre du site plus qu’à une attaque automatique à partir de la faille. Autrement dit, la réponse « A qui profite le crime » peut donner une idée de qui attaque.
Bon courage, quoi qu’il en soit.
pour moi la maj c’est bien passée, mais par contre les stats sont devenus fausses
plus de mise a 0 sur le jour suivant...
une idée ?
J’ai aussi remarqué que les fichiers .htaccess ont tous été modifiés.
Répondre à ce message
et les versions 1.9.2 ? concernées elles aussi ?
Répondre à ce message
Bonjour,
j’ai fait la mise à jour sans pb sur 2 sites avec SPIP loader, j’avais installé SPIP déjà comme cela.
Mais sur d’autres sites, j’avais du installer SPIP par FTP : dans ce cas, puis-je charger SPIP Loader par FTP puis faire la mise à jour comme cela, et sans dégàts ?
Merci d’avance
pas de souci parceque le spip_loader fait « comme si » tu balançais à la main
Merci Maïeul !
Cela a marché mais très bizaremment, sur plusieurs sites, plusieurs messages différents !
- SPIP est déjà installé donc pas de MAJ possible, et cf autre post, cela avait marché
- me demande de me connecter à l’admin
- se déroule normalement, me dit que c’est bon !
Répondre à ce message
Bonjour,
je viens de mettre à jour mon site Test_Latoniccia Club Plongée avec la version 2.1.8 par FTP.
La partie public du site fonctionne sans problème. Pour la partie privée j’ai systématiquement une erreur 404. J’ai supprimé le répertoire TMP,, recharger SPIP rien y fait !!!
Que faire pour retrouver un fonctionnement normal ?
Merci d’avance
En bas de la page 404 j’ai l’erreur suivante :
Je viens de repasser en SPIP 2.1.6.
Le défaut à disparu !!!!
Je continue les investigations.
Après réinstallation de la 2.1.8 tout semble fonctionner correctement coté public comme coté privé. Puis l’idée me vient de vider le cache .....
Retour de l’erreur fatal !!
Je ne sais plus quoi faire !
Merci d’un petit coup de main.
Peux-tu désactiver tes plugins, vider le cache en supprimant par FTP le contenu de
/tmp/cache/skel/
et vérifier que l’erreur ne se produit plus ? Dans ce cas il faut reactiver les plugins un à un en vidant le cache à chaque fois pour trouver le coupable.Pour desactiver les plugins sans avoir accès à l’espace privé, il suffit de renommer le dossier
plugins/
par FTP. SPIP ne trouvant plus les plugins, il va alors les désactiver.Si l’erreur se produit encore sans plugin actif, alors il faudra me fournir un accès FTP que je trouve le bug côté SPIP qui doit se produire dans certaines configurations particulières comme la tienne, et qu’on aurait pas vu lors des tests.
J’ai fini par trouver le plugin qui posait problème : Bandeau 2.1/1.1.7 - stable.
Je l’ai mis à jour avec la dernière version et le PB à disparu.
Merci te tes conseils et de ton aide.
Cordialement
Répondre à ce message
message après instal (pas une mise à jour)
Avertissement : la configuration de votre serveur HTTP ne tient pas compte des fichiers .htaccess. Pour pouvoir assurer une bonne sécurité, il faut que vous modifiez cette configuration sur ce point, ou bien que les constantes _DIR_TMP & _DIR_CONNECT (définissables dans le fichier mes_options.php) aient comme valeur des répertoires en dehors de C :/Program Files/EasyPHP5.2.10/www.
c nouveau ?
mais derniere installation en local est SPIP 2.1.1 [15871]
oui c’esr nouveau sur la 2.1.6 et suivant. C’est un message de sécurité. Ceci dit, pour une install local tu peux passer outre.
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |