Mise à jour de sécurité SPIP 2.1.9

Bonjour,

nos services (merci encore une fois Arnault) viennent de découvrir un trou de sécurité dans SPIP, permettant une injection de type cross-site-scripting (XSS).

L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005), il est clair que TOUTES les versions de SPIP sont touchées.

Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html, qui se trouve dans le répertoire :

  • dist/ en version SPIP 1.9
  • squelettes-dist/ en version SPIP 2.0 ou 2.1
  • extensions/dist_2007/ en version de dev

Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.9

3. par FTP : SPIP 2.1.9 est disponible à l’adresse http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; faites simplement svn up

  • dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
  • dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
  • sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/

Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14 que vous trouverez sur http://files.spip.org/spip/archives/

Discussion

6 discussions

  • 1
    Spip-User

    Suite à cette mise à jour, le message d’erreur qui doit s’afficher (issu du fichier langue public_fr.php par exemple) ne « traduit » plus les caractères accentués :

    Il n'y a pas d'article à cette adresse

    Comment faire pour que les caractères accentués passent à nouveau ?

    • On peut tenter d’écrire :

      [(#ENV{erreur}|html_entity_decode)]

      Mais j’ignore si l’emploi de cette fonction PHP ne réintègre pas la faille corrigée par la mise à jour de sécurité...

    Répondre à ce message

  • D’abord je rejoint le commentaire d’avant. Un grand merci à tous ceux qui travail dans l’ombre pour faire avancer SPIP.

    J’aurai une petite question. Je gére le site internet www.voyagesbaroude.com où il y a un forum les gens peuvent laisser des commentaires à partir d’un article comme là. Je l’ai mis en mode (Modération à priori dans l’espace privé) mais j’ai des commentaires qui sont publiés sans mon aval alors que je suis le seul administrateur du site es-que la faille 404 pourrait y avoir contribué ou ça aucun rapport.

    Merci d’avance pour les réponse

    Cyril

    Répondre à ce message

  • Répondre à ce message

  • 3

    En fait je voulais savoir si l’actualisation suffit ou si on est obligé de modifier également le fichier 404.html customisé ; mais je viens de voir (sur la liste rezo) que l’actualisation suffit , merci.

    • Si tu as un fichier squelettes/404.html, je te conseille de le modifier également !

    • Mais c’est nécessaire ou seulement recommandé ?

      Je demande car j’ai beaucoup de sites à actualiser et si je ne dois pas vérifier à chaque fois si il y a un 404 personnalisé et le modifier, cela m’arrange.

      Rainer

    • c’est nécéssaire vu que c’est ce code [(#ENV*{erreur}|propre)] qui pose pb.

    Répondre à ce message

  • 1

    Dans le cas ou on a personalisé le 404.html , est-ce que une mise à jour suffit, ou doit-on encore modifier le 404.html personnalisé ?

    • Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

      Ce fichier 404.html est généralement dans squelettes/

    Répondre à ce message

  • Merci à l’équipe SPIP, à vous, à nous ! ;-)

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom