Écran de sécurité
L’utilisation de l’écran de sécurité mis à jour protège de la plupart des failles : vous êtes encouragés à télécharger sa version la plus récente (1.0.10 du 17 avril 2012) et à la déposer dans votre répertoire config/
Pour + d’infos sur l’écran de sécurité consulter l’article de spip.net : http://www.spip.net/fr_article4200.html
Mise à jour de SPIP
Toutefois, comme toutes les failles ne sont pas corrigées par l’écran de sécurité, nous vous recommandons fortement de mettre à jour SPIP avec les nouvelles versions.
Attention : Si votre site tourne sous PHP4 il est recommandé d’attendre la prochaine release avant de mettre à jour
1. par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.13
2. par copie des fichiers :
- SPIP 2.1.13 est disponible à l’adresse http://files.spip.org/spip/stable/spip.zip
- Les versions 2.0.18 et 1.9.2.o sont téléchargeables ici :
http://files.spip.org/spip/archives/
3. par SVN :
- si vous êtes dans la branche 2.1 faites simplement un « svn up »
svn ://trac.rezo.net/spip/branches/spip-2.1 - la version 2.1.13 est aussi disponible sous la branche :
svn ://trac.rezo.net/spip/branches/spip-2-stable - et sous le tag
svn ://trac.rezo.net/spip/tags/spip-2.1.13
Si vous avez besoin d’aide ?
N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :
- Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- Forum : http://forum.spip.org/
- IRC : http://spip.net/irc
Signaler une faille
Nous rappelons à toutes et tous que le meilleur moyen pour signaler
des failles, ou des suspicions de failles, est d’envoyer un email
à spip-team@rezo.net.
Abonnez-vous !
Comment être tenu au courant de ces annonces ? Le plus simplement du monde en s’inscrivant sur la mailing liste : http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux ne sont pas en reste :
- Twitter : http://twitter.com/spip
- Facebook : http://www.facebook.com/spip.net
- Seenthis : http://seenthis.net/people/spip
Discussions par date d’activité
7 discussions
Bonjour,
Voici en bas de page sous php 4.4.3 (ovh) et donc le passage de 2.1.10 vers 2.1.13
Fatal error : Call to undefined function : strpbrk() in /*****/*****//ecrire/public/stats.php on line 22
reproduit sur deux sites différents, de plus la partie privé est dégradée comme si on ne trouvait pas les styles .
en effet, problème confirmé. On va donc re-releaser pour corriger cela...
Bonjour,
J’ai le même problème. Quand allons-nous pouvoir avoir une mise à jour pour solutionner ce problème ?
Merci d’avance.
Bonjour,
Simplement pour signaler le même problème que celui décrit par Anic, mais qu’ en plus j’ai constaté que les « Statistiques » restaient elles, aussi bloquées à la date de la mise à jour (chez moi au 25/04).
Je suis aussi chez OVH. Les soucis viennent-ils d’une incompatibilité cet hébergeur ou les autres travaillent-ils autrement. La dernière fois, lors d’une mise à jour, c’était la partie publique qui disparaissait et par magie (ou et pas mal recherches) revenait en changeant le format « images » en « convert ».
Vaut-il mieux changer d’hébergeur ?
Dans tous les cas merci pour votre boulot.
Idem chez Free, qui n’est pas vraiment un hébergeur mais il y a encore des sites en SPIP 2 chez eux. Merci !
Bonjour, je confirme le même problème chez Free. Merci pour votre aide.
Bonjour,
Même problème de Fatal error chez Free avec la version 2.1.13. De plus, à chaque fois que je valide une action sur l’espace privé (enregistrement d’un article, publication en ligne...), un message dans une boîte verte me dit : « Si votre navigateur n’est pas redirigé, cliquez ici ». Une nouveauté ? De plus, les icônes pour passer de l’espace public à l’espace privé n’apparaissent plus. Est-ce un problème avec la version php de Free : PHP Version 4.4.3-dev ? Si oui, est-ce que je peux revenir à la version 2.1.10 que j’utilisais avant (j’ai une sauvegarde de base de données avec cette version).
Merci pour votre réponse.
Répondre à ce message
Hello,
Il y a un bug au moment de l’upload de fichier dans un article sur cette verison 2.1.13 .. à la fin de l’upload, un appel JS est censé afficher l’image .. et oops .. erreur js .. et la roue tourne à l’inifini ..
C’est à cause de prive/javascript/jquery.form.js qui a été mis à jour
Le fichier async_upload.php, lui, appelle des fonctions qui ne sont plus dans la nouvelle version de jquery.form.js ...
bref .. il faut garder son vieux jquery.form.js pour ne pas rencontrer ce désagrément ..
Je confirme le bug sur et le « patch ». Merci fwedboot !
Bonjour,
Revenir à l’ancienne version de jquery.form.js ne suffit pas. Lorsqu’on veut télécharger un zip contenant des images pour décompression, l’option « titrer selon le nom des fichiers » ne fonctionne plus, ce qui peut être gênant lorsqu’on veut faire une galerie rapidement. Pour ma part, j’ai solutionné temporairement l’anomalie en reprenant également l’ancienne version de ecrire/inc/ajouter_documents.php.
Ce n’est sans doute pas idéal mais en attendant mieux...
Salut, cela doit être corrigé par les commits suivants dans async_upload.js :
http://core.spip.org/projects/spip/repository/revisions/19308
http://core.spip.org/projects/spip/repository/revisions/19309
Merci pour le signalement ++
Bonjour,
Au 4 mai, ce bug est toujours présent quand on telecharge la dernière version stable en zip, avez-vous une date de sortie d’une version qui intégre la correction ?
Merci !
J’ai appliqué les révisions 19308 et 19309 ci-dessus et cela corrige effectivement le problème d’upload qui tournait dans le vide. C’était le plus important, merci ! (Attention de bien vider les caches spip et navigateur pour prise en compte du nouveau async_upload.js...)
Mais, par contre, cela ne corrige pas le problème sur l’option « titrer selon le nom des fichiers » à la décompression d’un fichier zip que j’évoquais dans mon précédent message. Les images sont bien extraites du zip, elles apparaissent bien, mais sans titre.
Merci b_b pour les commits.
Le bug du titrage automatiques des documents extraits d’un zip est aussi corrigé et sera présent dans la future 2.1.14 qui sera disponible dès qu’on aura un moment pour faire la release.
++
Répondre à ce message
Bonjour,
quelle version de .js intègre cette nouvelle mouture ... toujours la 1.4 ?
Répondre à ce message
Salut,
Juste pour signaler que la majorité des sites sous spip que je gère se font hacker (injection de code dans index.php, qui envoie vers un téléchargement de virus) que ce soit avant ou après mise à jour 2.1.13...
Bref c’est un peu la cata là... :S
Salut, as-tu vérifié que tu ne t’es pas tout simplement fait hacker ton accès ftp? Il faudrait vérifier tes logs ftp et surtout changer le mot de passe des comptes ftp qui ont accès à ton serveur. L’adresse d’un de tes sites hackés pourrait être utile pour qu’on y jette un œil.
++
Salut,
Le truc c’est que je suis assez étonné que cela soit arrivé sur 3 de mes sites, avec hébergeurs différents... Mais peut être que j’accuse Spip à tort ! Je voulais également savoir si cela était arrivé récemment à d’autres.
Voilà, après donner les adresses ne va pas changer grand chose vu que j’ai fait les corrections, et également par sécurité changé les ftp. J’essaierais de vous tenir au courant, merci pour la réponse.
je te conseille la lecture de cet article qui donne des liens vers des outils qui te permettront de savoir si tu as été victime d’attaque de ce type :
http://zzz.rezo.net/Securite-attention-au-ver-Gumblar.html
++
Merci pour le lien.
Cela ressemble en effet à mon cas.
Ça sent le bon nettoyage de PC :)
Merci encore.
Répondre à ce message
Bonjour,
Depuis que je suis passé à la version 2.1.13, je ne peux plus accéder à l’espace privé.
J’obtiens, quand ça ne tourne pas en boucle en continu le message :
Le système a rencontré une erreur lors de l’écriture du fichier ../tmp/sessions/1_323b2e6b875431d8a806d2e15503f8bc.php. Veuillez, en tant qu’administrateur du site, vérifier les droits d’écriture sur le répertoire tmp/sessions.
Bonjour
As tu vider le tmp via ftp? Est ce que tu as bien les droits sur le dossier ?
Bonjour Pierre,
Oui j’ai vidé le dossier TMP par FTP et dans ce cas l’espace privé redevient accessible pendant 2 minutes puis le problème revient.
Par contre je me suis rendu compte que je ne pouvais pas lire ni supprimer le fameux dossier « Sessions ».
Je suis bloqué.
Bon j’ai réussi à supprimer le dossier Sessions par FTP mais il fallait pour cela que j’affiche les fichiers cachés.
Depuis ça semble refonctionner.
J’avais quand même plus de 10 000 fichiers dans ce dossier Sessions.
Répondre à ce message
Une mises-à-jour qui apporte bien plus de bugs et de failles que d’améliorations, courage vous allez y arriver à sortir quelques choses de stable :)
Bonne continuation
tu as constaté d’autes bugs non signalés ici ?
des failles ???
sérieux...
Sur la page privé de gestion des plugins
J’ai toujours :
2 Erreur(s) dans le squelette
Numéro message squelette boucle Ligne
1 Aucun squelette .html n’est disponible... / /
2 Aucun squelette .html n’est disponible...
Est-ce un bug ou comment puis-je résoudre ce souci ?
bonjour,
ça ressemble à un inclure qui ne trouve pas son fichier
mais il faudrait un peu plus d’info...
y’a-t-il des plugins activés ? qui interviennent dans l’affichage de l’espace privé ?
une fois vidé tmp/cache/ que se passe-t-il ?
...
Pour les plugins activés pas que je sache
voici la liste
Agenda 2.3.0 - stable
Associaspip 2.1.0 - en développement
Boite à outils pour articles 0.3 - stable
cfg : moteur de configuration 1.16.0 - stable
Champs Extras2 1.10.1 - en test
Crayons 1.9.7 - stable
Formulaire de contact avancé 0.62 - stable
Formulaires et Tables 0.4.1 - en test
Interface pour Champs Extras 1.3.0 - en développement
iSPIP 2.0 1.12 - en test
Itérateurs 0.6.1 - en test
Le Couteau Suisse 1.8.29.02 - stable
Lecteur Multimédia 0.77.0 - stable
Mediathèque 1.6.12 - stable
Saisies pour formulaires 1.23.2 - en test
Séances 1.2 - stable
Social tags 0.9.14 - stable
SPIP Bonux 2.2.15 - stable
SPIP-Listes 2.0157 - en test
Thumbsites 0.3 - stable
Pour le cache : je vais essayer...
Merci pour ta réponse en tout cas.
Répondre à ce message
Bonjour,
Pour les retardataires (constaté en 2.1.10) cette mise à jour nécessite php5.
Ce défaut est visible depuis l’espace privé, qui perd sa mise en forme, et une ligne d’erreur en bas de page depuis le site public.
l est souvent possible de le faire depuis le .htaccess en y ajoutant une ligne de code qui dépend de l’hébergeur.
Par exemple chez ovh c’est Set_Env PHP_VER 5
Et comme toujours pour voir votre version de php : http://www.monsite/ecrire/?exec=info
Non PHP 5 ne devrait pas être plus obligatoire qu’avant sur une release mineure. Peux-tu indiquer les messages d’erreur que tu as ?
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |