SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

288 Plugins, 197 contribs sur SPIP-Zone, 142 visiteurs en ce moment

Home > Vita e cultura SPIP > SPIP-core > Allarme di Sicurezza SPIP + nuova versione SPIP 2.0.9

Allarme di Sicurezza SPIP + nuova versione SPIP 2.0.9

6 agosto 2009 – di mmmx

Tutte le versioni di questo articolo: [عربي] [English] [français] [italiano]

3 votes

Un grave problema di sicurezza è stato scoperto in SPIP. Tutto quello che c’è da fare al riguardo

(da un avviso postato sulla mailing list «spip-ann» )

Salve,
Un grave problema di sicurezza è appena stato scoperto: questa falla interessa tutte le versioni SPIP dalla 2.0.x alla 2.0.8, e anche il ramo 1.9. Questa falla permette a un hacker sprovvisto di qualsiasi password di prendere il controllo del sito web SPIP e del web server.

Questo allarme va preso molto seriamente in quanto non è stato scoperto da persone carine ma da un vero malintenzionato che ha preso il controllo di un sito esistente, per inserirvi malawere.

Correzioni :

Oggi sono state pubblicate 2 versioni di mantenimento di SPIP, che sistemano il problema:

  • SPIP 2.0.9, ultima versione ufficiale stabile, che offre la patch e una serie di miglioramenti indicati più sotto.
  • SPIP 1.9.2i, versione di mantenimento per il branch 1.9.2

Per il Download: http://files.spip.org/spip/stable/
http://files.spip.org/spip/archives/ (per la 1.9.2i)

o, se preferite usare spip_loader : http://xxx.example.tld/spip_loader.php

Per gli specialisti di sicurezza informatica, la sola patch di sicurezza, che risolve solo questa falla senza apportare ulteriori modifiche e migliorie, può essere trovata qui :
-  http://fil.rezo.net/secu-14346-1435...
Controllare le revisioni [14347] [14348] [14349] [14350] e [14354].

Per il branch 1.9.2x la patch è disponibile qui:
-  http://trac.rezo.net/trac/spip/chan...

Security Screen :

Se non avete possibilità di fare l’upgrade completo alle nuove versioni, vi consigliamo di proteggervi dalla falla istallando al più presto sui vostri siti SPIP «security screen». Potete trovarlo qui :
http://www.spip.net/fr_article4200.html (Fr.)

Questo «screen» permette di bloccare alcuni attacchi senza la necessità di upgrading di SPIP.

Ringraziamenti :

Questa falla è stata scoperta e analizzata da Thomas Sutton e Pierre Rousset.

Vorremmo ricordarvi anche che il miglior modo per segnalare falle di sicurezza in SPIP è di scrivere una mail a spip-team [AT] rezo.net

Dernière modification de cette page le 1 settembre 2009

Retour en haut de la page

Rispondere all’articolo

Chi sei?

Per mostrare qui il tuo avatar, registralo prima su gravatar.com (gratis e indolore). Non dimenticare di fornire il tuo indirizzo email.

Inserisci qui il tuo commento Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Aggiungi un documento

Retour en haut de la page

Ça discute par ici

  • (fr) GIS 4

    11 août 2012 – 1417 commentaires

    Présentation et nouveautés La version 4 de GIS abandonne la libraire Mapstraction au profit de Leaflet. Cette librairie permet de s’affranchir des librairies propriétaires tout en gardant les mêmes fonctionnalités, elle propose même de nouvelles (...)

  • (fr) Plugin Domlang : Domaines par secteur de langue

    4 septembre – commentaires

    Domlang est un plugin qui permet d’associer un nom de domaine ou un sous-domaine à un secteur de langue. Ce plugin convient pour un site qui utilise des secteurs de langues. En configuration, pour chaque secteur, vous pourrez définir une URL (...)

  • (fr) Menu de langues sous forme de liens

    30 novembre 2009 – 121 commentaires

    Par défaut, le menu de langue de SPIP s’affiche : Sous la forme d’une liste déroulante ; En affichant toutes les langues du site, qu’elles soient utilisées ou non (c’est à même si elles ne sont pas affectées à au moins un article ou une rubrique) ; Sans (...)

  • (fr) Agenda 2.0

    3 novembre 2008 – 1098 commentaires

    Voici la version pour SPIP 2.0 du Plugin Agenda pour SPIP 1.9.2, avec une interface remaniée pour encore plus de plaisir. Pour une documentation concernant l’utilisation d’Agenda 3 pour SPIP 3, veuillez pour l’instant vous référer à SPIP 3, Agenda (...)

  • (fr) Mailsubscribers

    16 janvier 2013 – 332 commentaires

    Ce plugin permet de gérer les inscriptions (ou abonnements) à la diffusion de contenu par email. Mailsubscribers permet de gérer les inscriptions par Opt-in simple ou double et la désinscription par URL. Ce plugin gère également plusieurs listes de (...)