SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

286 Plugins, 197 contribs sur SPIP-Zone, 250 visiteurs en ce moment

Accueil > Vie de SPIP et autour de SPIP > SPIP-core > Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

6 août 2009 – par L’équipe de SPIP-Contrib – 106 commentaires

Toutes les versions de cet article : [عربي] [English] [français] [italiano]

76 votes

Un grave problème de sécurité vient d’être corrigé dans SPIP ; tout ce qu’il faut savoir à ce propos.

(reprise texto d’un mail sur spip-ann)

Bonjour,

un grave problème de sécurité vient de nous être signalé ; ce problème
affecte toutes les versions de SPIP 2.0.x jusqu’à SPIP 2.0.8, ainsi
que la branche 1.9. Il permet à un attaquant ne disposant d’aucun mot
de passe de prendre le contrôle de votre site SPIP et de votre serveur
web.

L’alerte est d’autant plus sérieuse que le "trou" n’a pas cette fois
été découvert par un "gentil", mais par un véritable "méchant" qui a
pris le contrôle d’un site existant pour y insérer des malware.

Correctifs

Nous publions donc aujourd’hui deux versions de maintenance de SPIP,
qui corrigent ce bug :
-  SPIP 2.0.9, dernière version stable et officielle, qui contient,
outre la correction de ce problème de sécurité, quelques
améliorations, listées ci-dessous.
-  SPIP 1.9.2i, version de maintenance de la branche 1.9.2

à télécharger sur
=> http://files.spip.org/spip/stable/
=>http://files.spip.org/spip/archives/ (pour la version 1.9.2i)

ou, si vous utilisez spip_loader, en vous rendant à l’adresse
=> http://xxx.example.tld/spip_loader.php

Pour les spécialistes, le patch de sécurité stricto sensu pour la
branche 2.0.x, qui ne corrige aucun autre bug et n’apporte aucune
autre fonctionnalité, peut se trouver ici :
http://fil.rezo.net/secu-14346-14350+14354.patch
Il s’agit des révisions [14347] [14348] [14349] [14350] et [14354].

Pour la branche 1.9.2x le patch est ici :
http://trac.rezo.net/trac/spip/changeset/14354/branches/spip-1.9.2

Ecran de sécurité

Si vous n’avez pas la possibilité de procéder à la mise à jour
complète tout de suite, nous vous invitons à colmater sans attendre le
problème en installant sur votre site l’« écran de sécurité », que
vous pouvez découvrir à l’adresse :
http://www.spip.net/fr_article4200.html
Cet écran permet de bloquer une éventuelle attaque sans pour autant
devoir mettre à jour les fichiers de SPIP.

Crédits

L’attaque a été détectée et analysée par Thomas Sutton et Pierre Rousset.

Nous vous rappelons que le meilleur moyen pour nous signaler un problème
de sécurité est d’envoyer un mail à la liste spip-team arobize rezo.net

Dernière modification de cette page le 8 août 2009

Retour en haut de la page

Tout afficher

Vos commentaires

  • Le 28 février 2010 à 13:09, par ? En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    L’écran de sécurité ne peut être récupéré : le lien ne marche pas :
    http://zone.spip.org/trac/spip-zone/browser/_core_/securite/

    une idée ?

    Répondre à ce message

  • Le 17 décembre 2010 à 12:47, par ? En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Bonjour,

    Est-ce que cet écran doit être déployé quelquesoit les version de Spip ?

    -  Spip 2.0.10
    -  Spip 2.0.11
    -  Spip 2.0.12
    -  Spip 2.1.2

     ?

    Merci

    Répondre à ce message

  • Le 15 mars 2011 à 16:24, par Jean-Baptiste Pressac En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Bonjour,
    Je ne sais pas si c’est normal, mais cette annonce datant de aout 2009 est affiché en page d’accueil du site. J’ai faillit croire qu’une version 2.1.9 était sortie ;-)

    Répondre à ce message

  • Le 4 octobre 2009 à 23:10, par JFD En réponse à : « Fatal error » en faisant « Répondre à cet article »

    Bonjour à tous,
    Suite à l’alerte de sécurité ci-dessus, j’ai fait passer mon site de la version 2.0.7 à la version 2.0.9.
    Depuis, si quelqu’un fait « Répondre à cet article », quand il clique sur « Voir ce message avant de le poster » il déclenche l’erreur suivante : « Fatal error : Call to undefined function : cs_glossaire() in /homez.34/periple/www/xxx/squelettes-dist/formulaires/forum.php(275) : eval()’d code on line 1 »"
    Je suis hébergé chez OVH, et j’observe la même erreur sur mon site de test en local. J’utilise les plugins Couteau Suisse, Spip listes, Spip Bonux, Compositions, Mini Calendrier.

    Est-ce que quelqu’un a observé ce phénomène et a pu le corriger ?
    Merci par avance de vos réponses.
    JF David

    Répondre à ce message

  • Le 28 mai 2010 à 10:58, par Diego En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Bonjour,

    Suite à la mise à jour 1.9.2i, un petit détail incohérent est apparu. Lorsque l’on upload une image depuis le backoffice (via « ajouter une image »), le petit bout de code qui apparaît en-dessous n’est plus « img » mais « doc ». Bien entendu, il suffit de remplacer « doc » par « img » dans la zone de texte. Mais est-ce que quelqu’un saurait comment rectifier ce problème de manière à ce que l’on ait plus qu’un copier-coller à faire (depuis le cartouche image vers la zone texte) pour incorporer l’image ?

    Merci d’avances pour vos réponses.

    Répondre à ce message

  • Le 13 avril 2010 à 18:58, par imback En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Bonjour,

    Je viens de corriger la faille sur deux sites qui était en 1.9.2 et j’ai fait une vérification/test comme ils le préconisent sur le site de spip (http://www.spip.net/fr_article4200.html). J’ai ce message :

    “Error 403

    You are not authorized to view this page (test 0.9.2)”

    Est-ce bon signe ? L’écran de sécurité est-il bien installé selon vous ?
    Merci d’avance pour vos réponses.

    Répondre à ce message

  • Le 8 août 2009 à 09:54, par alain bourdeau En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Bonjour,
    Aprés avoir fait la mise à jour en SPIP 2.0.9 par spip_loader.php,
    Dans la partie privée, j’obtient le message :

    Fichier documenter_objet introuvable

    Quand je cherche à entrer dans la gestion d’une rubrique, quelque soit la rubrique. Et je ne peux pas avoir la mise à jour d’un article ni la création d’un noueau.

    J’ai comme plugins important spip-thélia et acces_restreint.

    Que faut-il faire.
    Merci bien

    • Le 8 août 2009 à 11:46, par alain bourdeau En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

      Je me réponds car j’ai trouvé.

      Le fichier documenter_objet.php doit se trouver dans /ecrire/inc

      Il m’a suffit de transférer une version que j’avais en local sur le site.

      Mais pourquoi ce fichier était éliminé de la version sur le site ? Mystère.

      Amicalement à vous

    • Le 15 octobre 2009 à 15:03, par ratch En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

      Avec le passage de la 2.0.8 à la 2.0.9, j’ai le message Fichier documenter_objet introuvable lorsque je clique sur article dans la partie privée.
      Je n’ai pas de probleme en 2.0.9 partant de zero.

    • Le 15 octobre 2009 à 15:28, par ratch En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

      le fichier documenter_objet.php ne se trouvait pas ecrire/inc : c’est corrigé.
      visiblement, lors du ftp, la copie ne s’est pas faite.

      c’est résolu.

    Répondre à ce message

  • Le 5 septembre 2009 à 15:46, par mr En réponse à : SPIP 2.0.9 : problème avec les boucles récursives ?

    Ce bout de squelette fonctionnait correctement sous spip 2.0.8 :

    <B_sub_rubrique>
    (qq chose ici)
    <BOUCLE_sub_rubrique(RUBRIQUES){id_parent}{par titre}{doublons}>
    <BOUCLE_recursive(BOUCLE_sub_rubrique)> </BOUCLE_recursive>
    </BOUCLE_sub_rubrique>
    </B_sub_rubrique>
    (qq chose ici)
    <//B_sub_rubrique>

    Sous 2.0.9 cela me donne une page blanche (y compris tout le code placé avant ou après la boucle) ; un contenu réapparait si je supprime l’appel récursif :

    <B_sub_rubrique>
    (qq chose ici)
    <BOUCLE_sub_rubrique(RUBRIQUES){id_parent}{par titre}{doublons}>

    </BOUCLE_sub_rubrique>
    </B_sub_rubrique>
    (qq chose ici)
    <//B_sub_rubrique>

    Une piste ?

    • Le 10 septembre 2009 à 00:21, par ? En réponse à : SPIP 2.0.9 : problème avec les boucles récursives ?

      J’ai recopié ton squelette, et je n’ai pas de page blanche du moment que la rubrique a des rubriques filles. Par ailleurs, ce genre de message doit être posté sur le site spip_forum, cet article n’étant pas consacré à des problèmes éventuels de la 2.0.9.

    • Le 26 septembre 2009 à 22:01, par MR En réponse à : SPIP 2.0.9 : problème avec les boucles récursives ?

      Je réponds ici, vu qu’il s’agit davantage d’une différence de comportement des versions qu’un bug à proprement parler (?). Voici ce que j’ai trouvé en retravaillant mes squelettes (désormais compatibles 2.0.9) :

      SPIP 2.0.8 supportait des boucles imbriquées dans des boucles récursives même si les boucles imbriquées étaient placées dans les parties optionnelles avant ou après ou dans la partie alternative.

      Avec SPIP 2.0.9 il vaut mieux s’arranger pour que les boucles imbriquées soient dans le « corps » de la boucle récursive (il me semble que c’est un problème de passage de paramètres pour les critères de des boucles imbriquées).

      Ca n’a rien à voir, mais j’ai remarqué que la balise #CHAPO renvoie désormais un contenu vide si l’article est virtuel, ce qui est somme toute plus pratique ; mais c’est mieux quand on le sait.

      Quand la documentation sortira t-elle en même temps que les nouvelles versions et non des années plus tard ?

    • Le 2 octobre 2009 à 10:58, par erwan En réponse à : SPIP 2.0.9 : problème avec les boucles récursives ?

      Ce comportement me pose problème aussi. Je cherche
      à afficher un plan en mélangeant articles et rubriques, et j’ai besoin de mettre une boucle dans la partie optionnelle, pour pouvoir traiter le cas des rubriques qui ne contiennent que des articles, et le parametre ID_PARENT ne semble pas visible dans la partie optionnelle (ce qui est légitime à top-level, mais pas quand on commence à rentrer dans les appels récursifs).

      Bon, ce que je raconte ne doit pas être compréhensible si je ne donne pas la boucle en question. La voici donc (j’ai nettoyé des trucs inutiles ; j’espere ne pas en avoir enlevé trop) :

      <B_rub>
      <ul>
       <BOUCLE_rub(RUBRIQUES){tout}{racine}{par num titre}{doublons} >
       <li>
           <a  href="#URL_RUBRIQUE">[(#TITRE)]</a>
           <B_sousrub>
           <ul>
              <BOUCLE_sousrub(RUBRIQUES){tout}{id_parent}{par num titre}{doublons exclus}>
                <BOUCLE_art(ARTICLES){tout}{id_rubrique=#ID_PARENT}{par num titre}{titre<#TITRE*}{doublons}>
                <li> <a  href="#URL_ARTICLE">[(#TITRE)] </a> </li>
               </BOUCLE_art>
                <li> <a href="#URL_RUBRIQUE">[(#TITRE)] </a>
               <BOUCLE_recursive(BOUCLE_sousrub)>   </BOUCLE_recursive>
                </li>
                     [(#REM) à cause de la condition titre inf #TITRE*, on a pu raté des articles :
                      on en remet donc une boucle.]
                    <BOUCLE_art_apres(ARTICLES){tout}{id_rubrique=#ID_PARENT}{par num titre}{doublons}>
                      <li> <a href="#URL_ARTICLE">[(#TITRE)] </a>  </li>
                    </BOUCLE_art_apres>
           </BOUCLE_sousrub>
           </ul>
           </B_sousrub>
           <B_art_opt> [(#REM) Pour afficher les articles sans rubriques soeurs]
           <ul>
              <BOUCLE_art_opt(ARTICLES){id_rubrique=#ID_PARENT}{par num titre}{doublons}>
                <li>  <a href="#URL_ARTICLE ">[(#TITRE)]</a> </li>
             </BOUCLE_art_opt>
           </ul>
           </B_art_opt>
           <//B_sousrub>
       </li>
       </BOUCLE_rub>
      </ul>
      </B_rub>

      L’idee de cette boucle est d’afficher au même niveau les articles et les rubriques appartenant à une meme rubrique. Un probleme survient avec cette facon de proceder quand des articles sont dans une rubrique sans rubrique, d’où la boucle art_opt dans la partir optionnelle de la boucle principale.

      Et mon souci, c’est que #ID_PARENT semble invisible dans la boucle BOUCLE_art_opt. Je comprend de cette file que si ca se trouve, ca marchait avant...

    Répondre à ce message

  • Le 9 septembre 2009 à 15:57, par Cbastien En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    Bonjour,
    j’ai mis à jour la version spip 1.9.2.f à la version 2.0.9.
    Le site s’affiche normalement. Le seul bug : lorsque que je veux me connecter au Back Office, le login ne semble pas être pris en compte. En le validant, il s’efface et rien ne se passe.

    Merci à vous .

    • Le 16 septembre 2009 à 11:37, par gerard En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

      Bonjour,

      J’ai exactement le même problème !..
      J’ai fais une mise à jour spip du 192d à 209, et depuis le 19 août je n’ai reçu aucune réponse ...
      Donc dans le cas où tu recevrais une réponse en privé, je suis preneur ...

      Le seul moyen que j’ai trouvé pour entrer est de faire une mise à jour virtuelle en supprimant « config et tmp » par ftp ( Attention, sauvegarder tous les réglages des plugins, car il faudra ré-inscrire tous les paramètres [1] .. ) :
      -  refaire l’indentification de la base de données ( pas de changement ),
      -  entrer un nouveau login et un nouveau mot de passe propre à ton identification avec spip ( puisqu’avec celui déjà existant cela ne fonctionne pas !!! ), et redonner ce nouveau login et/ou le passe une deuxième fois pour entrer dans la partie privée quand la mise à jour est terminée ...

      A priori le cookie de correspondance ( penser à bien l’activer .. avant de repasser dans la partie publique ) semble permanent, ou tout du moins il s’agit de le réactiver ( pour moi une fois depuis le 19 août ).
      Grand désavantage, .. il est impossible de travailler avec un autre navigateur, ou même sur un autre ordinateur, sans refaire une ré-installation virtuelle et avec un nouveau login et passe ( puisque toute nouvelle ré-identification est impossible, login qui s’efface et redemande, et redemande ... ), pas très pratique .., perte de temps ...
      Et je ne peux même pas savoir si à priori des intentions malveillantes dormantes extérieures ( quelles soient gouvernementales et/ou privées genre hadopi x et pirates autres ... ) sont à l’affût de prendre le contrôle éventuel du site ( !?. ) ...

      Mais c’est éventuellement une solution d’attente avant qu’enfin le groupe de programmeur de cette version réponde enfin au problème posé soit par une mise à jour partielle ou un patch qui permettrait de reprendre le contrôle total. Et surtout dans cette attente évite toutes intrusions possibles par des forums ou autre.

      [1ex : Si tu utilises « Tout en couleurs du couteau suisse » avec tes propres couleurs, il faudra les ré-inscrire ...
      ect ...

    Répondre à ce message

  • Le 12 septembre 2009 à 11:35, par ? En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

    il me semble avoir fait la mis à jour normalement, pourtant dans l’espace privé il est toujours mentionné que j’ai affaire à la version 2.0.8, est-ce normal ?

    • Le 12 septembre 2009 à 18:12, par erational En réponse à : Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

      non, tu dois voir figurer la mention SPIP 209 dans le backoffice (en bas de page)

      normalement pour un passage de SPIP 208 à SPIP 209,un message t’avertit que SPIP va effectuer une mise à jour.

    Répondre à ce message

Répondre à cet article

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Ajouter un document

Retour en haut de la page

Ça discute par ici

  • Adaptive Images

    15 novembre 2013 – 66 commentaires

    Un plugin pour permettre aux sites responsive d’adapter automatiquement les images de la page à l’écran de consultation. Adaptive Images, que l’on pourrait traduire par Images adaptatives, désigne la pratique qui vise à adapter les taille, (...)

  • Métas

    8 août 2009 – 50 commentaires

    Ce petit plugin permet l’ajout, depuis l’espace privé, de metatags aux articles et rubriques de SPIP, ainsi que la mise en exergue de mots importants.

  • Brownie

    6 juillet 2012 – 43 commentaires

    Brownie est une adaptation pour Zpip du thème du même nom initialement développé par Egrappler.com. Présentation Brownie est un thème Responsive à deux colonnes. La démonstration ci-dessous utilise la version 2.0.0 de Brownie, la dist de SPIP3 (...)

  • Métas +

    3 décembre – 13 commentaires

    Améliorez l’indexation de vos articles dans les moteurs et leur affichage sur les réseaux sociaux grâce aux métadonnées Dublin Core, Open Graph et Twitter Card. Installation Activer le plugin dans le menu dédié. Dans le panel de configuration, (...)

  • Acces Restreint 3.0

    11 décembre 2008 – 785 commentaires

    Le plugin accès restreint permet de définir et de gérer des zones de l’espace public en accès restreint. Cette version du plugin a été redévelopée et optimisée tout spécialement pour SPIP 2.0. Il en découle une amélioration des performances sur les gros (...)

Ça spipe par là