Alerte Sécurité SPIP [2]

Publié le : 4 février 2006 – Dernière modification le 21 décembre 2021 – par L’équipe de SPIP-Contrib – 31

Español, français

0 vote

Un important trou de sécurité vient d’être détecté dans SPIP ; il affecte toutes les versions disponibles, sur tous les systèmes et dans toutes les configurations.
Un complément a été ajouté au patch le 04/02/2006
-> la dernière version sûre est la 1.8.2g
Procédure de mise à jour

Sommaire

Un complément a été ajouté au patch le 04/02/2006
Il convient de mettre à jour votre site le plus tôt possible.
Si vous souhaitez ne mettre à jour que les fichiers modifiés depuis la version 1.8.2^e :
Pour un un spip 1.8.2^e en version .php au lieu de .php3

Un complément a été ajouté au patch le 04/02/2006

-> la dernière version sûre est la 1.8.2g

Il convient de mettre à jour votre site le plus tôt possible.

La nouvelle version stable est la 1.8.2g, que vous pouvez récupérer :

- En téléchargeant le paquet zip à l’adresse habituelle.

http://www.spip.net/fr_download

- Ou, si vous avez utilisé la méthode d’installation « spip-loader »., en vous rendant à l’adresse

http://MON-SITE/spip_loader.php3

Les seuls fichiers modifiés entre la 1.8.2^e (précédente version stable) et la 1.8.2g (version stable courante) sont les suivants :

formulaires/inc-login_public.php3
formulaires/inc-formulaire_forum.php3
formulaires/inc-formulaire_inscription.php3
formulaires/inc-formulaire_signature.php3
formulaires/inc-formulaire_site.php3
inc-messforum.php3
inc-balises.php3
ecrire/inc_version.php3 (qui permet d’afficher le numéro de version 1.8.2g)

En savoir plus sur les modalités de mise à jour

Si vous souhaitez ne mettre à jour que les fichiers modifiés depuis la version 1.8.2^e :

Patch de mise à jour 1.8.2^e-> 1.8.2g

version standard en .php3
valalble aussi depuis la 1.8.2f
pour les versions antérieures : mise à jour complète nécessaire

patch 1.8.2^e -> 1.8.2g (.php3)

Pour un un spip 1.8.2^e en version .php au lieu de .php3

patch 1.8.2^e -> 1.8.2g (.php)

La version de développement « SVN » a elle aussi été corrigée de ce bug, mais elle n’est évidemment pas recommandée « en production »

bien qu’elle fasse déjà tourner quelques sites connus de la communauté :-)

En cas de doute ou si vous rencontrez le moindre pépin, rendez-vous sur la liste des utilisateurs, spip@rezo.net

Discussion

5 ans 1 an 3 mois Sans limite

par date

18 discussions

BS

Février 2006

J’ai installé sur mon site la version développement, version alpha de septembre. La version développement en est à alpha béta et a été profondément remaniée. Je ne peux donc récupérer uniquement les fichiers concernés par le trou de sécurité sans passer par une reinstallation complète.
Je dois donc utiliser la nouvelle version... qui est bien trop nouvelle. Il y a trop de changement (fin du php3...) pour m’y risquer. Cette nuit, j’ai essayé de faire une chose qui n’est pas conseillé. J’ai exporté ma base sql sur mon pc, détruit tout les fichiers et la base aussi. Puis j’ai réinstallé la version 1.82 et une fois la procédure fini, j’ai réaspiré avec phpmyadmin la base sql de 1.9. Miracle, je me couche en croyant que ça a marché. En effet, j’ai pu accédé à l’espace privé. L’espace public fonctionne. Ce matin, je me réveille avec le message type : vous avez réinstallé une version antérieure : attention, il faut...
J’ai donc réinstallé la version 1.9. Et j’ai planté mon site. Sur un autre, j’ai réussi à réinstallé la version 1.9. Aussi, je ne désespère pas... mais tout ça ne résoudra pas le problème de la faille dé sécurité.
Quelqu’un pourrait-il m’aider ?

Répondre à ce message
1

boborigolo

Février 2006

j’ai fait la mise a jour du 04 fevrier, et suite au trasfert des fichiers par FTP, je n’ai rien qui s’est passé sur mon site tous va bien ? est ce normal et pouvez vous me dire comment verifier si ma mise a jour s’est correctement déroulé !!

merci

pour info l’adresse de mon site :

http://b.thomas1.free.fr/
- joe_jojo
  
  Février 2006
  
  Dans l’interface privé regarde en bas a droite le numéro de version que spip indique. Indique-t’il 1.8.2.g ?
  
  Est-ce que ca veux dire que tout est ok ? Je ne suis pas sûr.
Répondre à ce message
jfredd

Février 2006

Bonjour,

on parle beaucoup de la 1.8. Qu’en est-il de la 1.7.2 ?
L’upgrade est-il obligatoire de la 1.7.2 à la 1.8.2g ?

Je sais lire et j’ai vu que cela avait l’air de concerner toutes les versions de spip, mais j’ai plusieurs gros sites avec des trucs spécifiques et j’aimerais être sûr que l’upgrade est incontournable avant de me lancer dans un boulot de fou.

Merci de votre réponse.

Répondre à ce message
joe_jojo

Février 2006

Merci pour l’upgrade,

SPIP « spip_log » and « include_local »

Une autre vulnérabilité ?

Répondre à ce message
1

toggg

Février 2006

Merci pour l’upgrade.
Je crois bien que ecrire/inc_version.php3 est toujours marqué 1.8.2 f.
Pas grave ...
Bon courage !
- nat33
  
  Février 2006
  
  Bien vu : merci ! c’est corrigé.
Répondre à ce message
1

Bilboid

Février 2006

Pour l’install’ automatique c’est plutôt cette adresse :
http://www.spip.net/spip-dev/INSTALL/spip_loader.php3

;-)

(Clic-droit : enregistrer la cible du lien sous)
- nat33
  
  Février 2006
  
  L’idée c’est : si au départ vous aviez installé votre site avec spip loader, vous vous placez à nouveau sur le fichier spip_loader.php3 à la racine votre site afin qu’il procède à la mise à jour
  
  Voila pourquoi c’est « http://www.monsite/spip_loader.php3 » et pas l’url pour lancer spip loader à l’installation initiale.
Répondre à ce message
1

thx11

Février 2006

Une précision : avec une version 182d faut-il faire la mise à jour complète en 182f ou peux t-on se contenter de changer les fichiers de formulaire ?

Merci
- nat33
  
  Février 2006
  
  depuis la « d » il faut faire la mise à jour complète.
Répondre à ce message
pseudomenace

Février 2006

alors ils sont où les fichiers à installer à partir de 1.8.2^e (seuls les fichiers !)

merci d’ajouter ceux en .php

@+

Répondre à ce message

« Précédent 1 2 Suivant »

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
- version de SPIP, en bas de la partie privée
- version du plugin testé et des éventuels plugins nécessités
- version de PHP (exec=info en partie privée)
- version de MySQL / SQLite
Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?

Nom [Se connecter]

Courriel (non publié)

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Texte de votre message

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Prévenez-moi de tous les nouveaux commentaires de cette discussion par email

Ajouter un document

Extensions autorisées : gif, jpg, png

Suivre les commentaires : |