SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

286 Plugins, 197 contribs sur SPIP-Zone, 318 visiteurs en ce moment

Home > Vita e cultura SPIP > SPIP-core > Allarme di Sicurezza SPIP + nuova versione SPIP 2.0.9

Allarme di Sicurezza SPIP + nuova versione SPIP 2.0.9

6 agosto 2009 – di mmmx

Tutte le versioni di questo articolo: [عربي] [English] [français] [italiano]

3 votes

Un grave problema di sicurezza è stato scoperto in SPIP. Tutto quello che c’è da fare al riguardo

(da un avviso postato sulla mailing list «spip-ann» )

Salve,
Un grave problema di sicurezza è appena stato scoperto: questa falla interessa tutte le versioni SPIP dalla 2.0.x alla 2.0.8, e anche il ramo 1.9. Questa falla permette a un hacker sprovvisto di qualsiasi password di prendere il controllo del sito web SPIP e del web server.

Questo allarme va preso molto seriamente in quanto non è stato scoperto da persone carine ma da un vero malintenzionato che ha preso il controllo di un sito esistente, per inserirvi malawere.

Correzioni :

Oggi sono state pubblicate 2 versioni di mantenimento di SPIP, che sistemano il problema:

  • SPIP 2.0.9, ultima versione ufficiale stabile, che offre la patch e una serie di miglioramenti indicati più sotto.
  • SPIP 1.9.2i, versione di mantenimento per il branch 1.9.2

Per il Download: http://files.spip.org/spip/stable/
http://files.spip.org/spip/archives/ (per la 1.9.2i)

o, se preferite usare spip_loader : http://xxx.example.tld/spip_loader.php

Per gli specialisti di sicurezza informatica, la sola patch di sicurezza, che risolve solo questa falla senza apportare ulteriori modifiche e migliorie, può essere trovata qui :
-  http://fil.rezo.net/secu-14346-1435...
Controllare le revisioni [14347] [14348] [14349] [14350] e [14354].

Per il branch 1.9.2x la patch è disponibile qui:
-  http://trac.rezo.net/trac/spip/chan...

Security Screen :

Se non avete possibilità di fare l’upgrade completo alle nuove versioni, vi consigliamo di proteggervi dalla falla istallando al più presto sui vostri siti SPIP «security screen». Potete trovarlo qui :
http://www.spip.net/fr_article4200.html (Fr.)

Questo «screen» permette di bloccare alcuni attacchi senza la necessità di upgrading di SPIP.

Ringraziamenti :

Questa falla è stata scoperta e analizzata da Thomas Sutton e Pierre Rousset.

Vorremmo ricordarvi anche che il miglior modo per segnalare falle di sicurezza in SPIP è di scrivere una mail a spip-team [AT] rezo.net

Dernière modification de cette page le 1 settembre 2009

Retour en haut de la page

Rispondere all’articolo

Chi sei?
  • [Connettersi]

Per mostrare qui il tuo avatar, registralo prima su gravatar.com (gratis e indolore). Non dimenticare di fornire il tuo indirizzo email.

Inserisci qui il tuo commento Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Aggiungi un documento

Retour en haut de la page

Ça discute par ici

  • (fr) Notifications

    23 juillet 2007 – 199 commentaires

    Le plugin notifications sait envoyer des mails quand les gens s’expriment dans le forum de l’espace privé, sous un article, ou dans la messagerie personnelle... Il permet également de notifier le ou les auteurs d’un article lors de la publication de (...)

  • (fr) Sélections éditoriales

    19 mars 2015 – 69 commentaires

    Faites des listes de choses intéressantes. Ce plugin permet de gérer des listes de contenus quelconques de manière éditoriale. Chaque sélection est donc entièrement libre, et peut renvoyer aussi bien vers des contenus internes au SPIP quels qu’ils (...)

  • (fr) Mots arborescents

    12 octobre 2015 – 12 commentaires

    Ce plugin permet de gérer une arborescence de mots-clés. La configuration d’un groupe de mots dispose d’une nouvelle option pour autoriser pour ce groupe les arborescences de mots-clés. Dans ces groupes, des mots enfants peuvent être créés pour (...)

  • (fr) Agenda Fullcalendar facile

    29 octobre 2016 – commentaires

    Dans un précédent article, nous expliquions comment afficher un agenda Fullcalendar sur son site avec le plugin agenda. Cependant, ceci nécessite des manipulation de squelettes, ce qui n’est pas toujours évident lorsqu’on débute. La présente (...)

  • (fr) Les crayons

    23 avril 2008 – 816 commentaires

    Ce plugin permet d’éditer les contenus sur les pages publiques du site, sans passer par l’espace privé de SPIP.