SPIP 1.9.2k, 2.0.16, 2.1.11
et 3.0.0-beta disponibles

Bonjour,

plusieurs failles de sécurité ont été repérées dans les versions 1.9.2, 2.0 et 2.1 de SPIP.

Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team chez rezo.net.
C’est ce qu’a fait Laurent Estieux (TEHTRI-Security) et nous l’en remercions.

La faille concernant la version 1.9.2 est majeure (injection sql) et si vous avez une version 1.9.2 de SPIP, nous conseillons vivement de faire la mise à jour en 1.9.2.k.

Concernant les versions 2.0 et 2.1, si l’impact sur un site est moins important (full path disclosure), nous conseillons toutefois de mettre à jour en 2.0.16 et 2.1.11.

Dans tous les cas vous avez toujours la possibilité de protéger rapidement votre site (en attendant sa mise à jour complète) en téléchargeant la version 1.0.5 (26 juillet 2011) de l’écran de sécurité, et en la déposant dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).

N’hésitez pas à utiliser les différents moyens mis à disposition de la communauté (http://boussole.spip.org) pour obtenir de l’aide lors de cette mise à jour ; en particulier :


Avertissement :

Noter qu’à la sortie de la version 3.0, le support de la branche 1.9.2 sera définitivement abandonné.


Comment mettre à jour ?

  1. par spip_loader.php :
    si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.11
  2. par copie des fichiers :
    SPIP 2.1.11 à l’adresse http://files.spip.org/spip/stable/spip.zip
    SPIP 2.0.16 à l’adresse http://files.spip.org/spip/archives/SPIP-v2-0-16.zip
    SPIP 1.9.2k à l’adresse http://files.spip.org/spip/archives/SPIP-v1-9-2k.zip
  3. par SVN :
    si vous êtes dans la branche 2.1 faites simplement un svn up
     : svn ://trac.rezo.net/spip/branches/spip-2.1
    la version 2.1.11 est aussi disponible sous la branche : svn ://trac.rezo.net/spip/branches/spip-2-stable/
    et sous le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.11/

Suite à un mouvement de foule concernant de multiples on-dit sur la date de sortie de la version 3.0, l’équipe SPIP-team se doit de réagir et faire taire toute rumeur : « La version SPIP 3.0.0 sortira quand elle sera prête ! »
D’ici là vous pouvez tester in situ ce qu’elle propose sur http://grml.eu/spip.php?article1
Ou encore la télécharger sur http://files.spip.org/spip/dev/SPIP-3-beta.zip (elle est disponible en version beta ce qui veut dire que l’on se rapproche de la date de sortie).

P.-S.2

Avez-vous vu le tout nouveau tout beau http://plugins.spip.net ? En fait il n’est pas vraiment nouveau et il a toujours été beau. Mais il est maintenant complètement automatique et basé sur de « puissants algorithmes » :-)
Pour en savoir plus : http://plugins.spip.net/spip.php?article1
La peinture est encore toute fraîche donc il se peut qu’il y ait quelques coulures encore, mais allez-y.

Discussion

8 discussions

  • Bravo.

    Il est facile de comprendre que vous souhaitez terminer proprement la V3.0 afin sa diffusion. Beaucoup de nouveautés et une belle interface.

    Bravo et merci

    Abou33

    Répondre à ce message

  • 3

    Les statistiques ne marchent pas dans la version 3 beta , quelqu’un a t’il une solution ? Je n’ai pas trouvé de fonction dans les menu qui active ou désactive le stats comme dans la version 2 ?

    • L’activation des statistiques se fait dans la page de configuration des « fonctions avancées », il y a une formulaire de configuration ’Statistique des visites’. Si tu active le comptage ça devrait être bon.

    • Ok merci j’ai trouvé j’ai pourtant cherché mais mal ;) En faite les statistiques était déjà en marche surement après la mise à jour de l version 2 à 3 beta , les paramètres devait être mémorisés, j’ai donc désactivé puis réactivé on verra si cela remarche !

    • J’ai désactivé puis réactivé plusieurs fois les statistiques et elles ne marchent toujours pas ? En faite sur pas mal de plugins sur la version spip 3 beta ne fonctionne pas ou comportent des bugs (normal c’est une beta), comme notations, lecteur multimédia etc. Vivement la version stable de SPIP 3 ! :)

      Je trouve que l’extension mediabox est top !

    Répondre à ce message

  • Les statistiques ne marchent pas dans la version 3 beta quelqu’un pourrait-il me dire comment les faire fonctionner ? Voici mon site fait avec spip3 : www.pierrickleve.com

    Répondre à ce message

  • SPIP 3.0

    Sortira quand elle sera prête , ok
    mais même pas un indice sur la sortie présumée ?

    Répondre à ce message

  • Haqqtiviste

    Merci pour le nouveau Spip plugin !
    La paix sur vous

    Répondre à ce message

  • 5

    Bonjour, je suis d’accord avec Maïeul, pour ce qui concerne l’utilisation de base, l’ergonomie même pour les rédacteurs occasionnels néophytes avec l’aide proposée est un plus. Par contre, je suis perdu dans les extensions, et là une explication me semble nécessaire quand aux modalités de leur utilisation, ou alors, il faudra aller à la pêche des infos sur chaque plugin.
    Enfin, pour la sauvegarde avec sqlite, que fait on des anciennes sauvegardes zippées qui présentaient une sécurité pour la maintenance du site ?
    Sans cela, je maintiens, après avoir testé en local les version alpha, cette version est plus aboutie.

    • a mais oui, pour le webmestre le principe des extensions sera expliqué.

      L’idée est que tout ce qui n’est pas indispensable pour un site minimal bascule en extension. Une extension, c’est un plugin, sauf que sa présence dans le dossier extensions le rend indésactivable.

      Il y aura sans doute plusieurs distributions de SPIP, avec plus ou moins d’extensions.

      La sauvegarde avec sqlite n’empêche pas de récuperer le fichier sqlite. Pour les anciennes sauvegardes, il y aura un plugin de retrocompatibilité, mais je rappelle que normalement on installe une sauvegarde sur la version qui a servi a la produire, pas entre versions différentes

    • Bonjour, et merci pour ces précisions.
      Seulement lorsque j’ai fait les tests en local qui n’ont pas toujours marché cet été, il m’est arrivé de monter d’une version 2.1.10 avec une base pleine, pour avoir un contenu, et voir ce qui se passait en version 3.
      En montant la version, pas de problème. Mais la base de la version montée de la v2.10 reste en msql et je pouvais la voir dans phpmyadmin. Sqlite restait vide.
      Je n’ai pas tout suivi et ne m’étais jamais posé la question de savoir ce qu’était sqlite. D’où mon ignorance et ma question.
      Je me documente.
      Merci

    • SQLite est un système de base de donnée (comme MySql). La différence est qu’on a pas affaire à une architecture client-serveur.

      Pour SPIP 3.0 il faut distinguer deux choses :
      -  d’une part, par défaut SPIP va proposer une base SQLite. Mais il ne va pour autant migrer une ancienne base MySQL sur SQLite.
      -  d’autre part, les sauvegardes de SPIP seront exportées dans un fichier SQLite et plus dans un fichier xml.

    • "Pour SPIP 3.0 il faut distinguer deux choses :
      -  d’une part, par défaut SPIP va proposer une base SQLite. Mais il ne va pour autant migrer une ancienne base MySQL sur SQLite."

      C’est là que j’ai coincé, parce que ma base mise à jour de la 2.1.10 était dans msql, Spip3 fonctionnait
      en sauvegardant au format MSql, il m’était ensuite impossible de refaire la mises à jour ensuite pour essai, puisqu’il demandait une base Squilte, que je n’avais pas.
      Le problème ne se serait surement pas posé si j’avais créé le site en version 3 directement.

      J’ai laissé tomber depuis en attendant de pouvoir reprendre complètement la main.

      Merci pour tes explications.

    • A priori, je n’aurais pas eu ce problème en créant directement mon site en v3 avec SQlite.

    Répondre à ce message

  • 6

    Bonjour,
    Je ne sais pas si c’est le lieu, mais
    " La version SPIP 3.0.0 sortira quand elle sera prête ! »
    D’ici là vous pouvez tester" c’est ce que j’essaie de faire depuis cette annonce, je m’attendais à un chamboulement mais pas à ce point, cela veut dire que la mise à jour de spip2.1.10 à la 3 ne se fera pas par spip_loader.php,
    Y aura-t-il un développement explicatif ou quelque chose comme ça pour des petits utilisateurs comme moi.
    Merci aux développeurs

    • a priori cela passera pas spip_loader. Mais tant que spip 3.0 n’est pas sort officiellement spip-loader ne le prend pas en compte

    • Merci Maïeul,
      Je suppose que tu as voulu dire « a priori cela passera par spip_loader. » et non « pas » c’est un soulagement pour moi et sûrement d’autres, j’espère qu’il y aura moult explications sur sont fonctionnement, parce que en ce moment je nage complètement.

    • Bonjour,

      Après avoir lu l’article ici (cf 1 post scriptum)

      http://www.spip-blog.net/SPIP-1-9-2k-2-0-16-2-1-11-et-3-0-0-beta.html

      Il y a un espace d’essai ici :

      http://grml.eu/spip.php?article1

      Merci aux concepteurs, j’y ai en particulier trouvé Spip3, beaucoup plus facile à essayer que lors de mes premiers essais en local courant août.

    • Bonjour,
      Oui je connais, mais je l’ai déjà installé en local, et l’essai ne me donne rien de plus, j’espère qu’il y aura un tuto pour expliquer sont fonctionnement, j’avoue être un peu paumé et je ne dois pas être le seul, comme on pourrait dire « spip se professionnalise » en tout cas il cause du vrai Français « téléverser au lieu de télécharger » poiur les logos, c’est bravo, félicitations les concepteurs

    • a priori rien ne change fondamentalement pour les utilisateurs, a part l’orga des menus qui est différente et plus logique. Je ne vois pas trop où se situerait d’eventuelle pb nécessitant un tuto.

    • « a priori rien ne change fondamentalement pour les utilisateurs » tu crois ?, je suis complètement perdu

      « a part l’orga des menus qui est différente et plus logique. » possible je n’ai pas suffisamment de connaissances pour juger

      J’ai une crainte, c’est que spip devienne une usine à gaz qui larguerait les gars comme moi, sachant que tout ce que je connais actuellement je le dois à spip et à sa communauté.

      Bien, je vais ramer, ramer......

    Répondre à ce message

  • Bonjour,

    Il y a un bug sur la version spip 192k : ligne 252 du fichier
    ecrire/inc/rubriques.php

    Il apparait quand on installe les squelettes spécifiques lors de la mise à jour,
    mais peut-être pas chez tout le monde..

    c’est corrigé dans la version spip 192m.

    Merci aux développeurs.

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom