SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

289 Plugins, 197 contribs sur SPIP-Zone, 74 visiteurs en ce moment

Home > Vita e cultura SPIP > SPIP-core > Allarme di Sicurezza SPIP + nuova versione SPIP 2.0.9

Allarme di Sicurezza SPIP + nuova versione SPIP 2.0.9

6 agosto 2009 – di mmmx

Tutte le versioni di questo articolo: [عربي] [English] [français] [italiano]

3 votes

Un grave problema di sicurezza è stato scoperto in SPIP. Tutto quello che c’è da fare al riguardo

(da un avviso postato sulla mailing list «spip-ann» )

Salve,
Un grave problema di sicurezza è appena stato scoperto: questa falla interessa tutte le versioni SPIP dalla 2.0.x alla 2.0.8, e anche il ramo 1.9. Questa falla permette a un hacker sprovvisto di qualsiasi password di prendere il controllo del sito web SPIP e del web server.

Questo allarme va preso molto seriamente in quanto non è stato scoperto da persone carine ma da un vero malintenzionato che ha preso il controllo di un sito esistente, per inserirvi malawere.

Correzioni :

Oggi sono state pubblicate 2 versioni di mantenimento di SPIP, che sistemano il problema:

  • SPIP 2.0.9, ultima versione ufficiale stabile, che offre la patch e una serie di miglioramenti indicati più sotto.
  • SPIP 1.9.2i, versione di mantenimento per il branch 1.9.2

Per il Download: http://files.spip.org/spip/stable/
http://files.spip.org/spip/archives/ (per la 1.9.2i)

o, se preferite usare spip_loader : http://xxx.example.tld/spip_loader.php

Per gli specialisti di sicurezza informatica, la sola patch di sicurezza, che risolve solo questa falla senza apportare ulteriori modifiche e migliorie, può essere trovata qui :
-  http://fil.rezo.net/secu-14346-1435...
Controllare le revisioni [14347] [14348] [14349] [14350] e [14354].

Per il branch 1.9.2x la patch è disponibile qui:
-  http://trac.rezo.net/trac/spip/chan...

Security Screen :

Se non avete possibilità di fare l’upgrade completo alle nuove versioni, vi consigliamo di proteggervi dalla falla istallando al più presto sui vostri siti SPIP «security screen». Potete trovarlo qui :
http://www.spip.net/fr_article4200.html (Fr.)

Questo «screen» permette di bloccare alcuni attacchi senza la necessità di upgrading di SPIP.

Ringraziamenti :

Questa falla è stata scoperta e analizzata da Thomas Sutton e Pierre Rousset.

Vorremmo ricordarvi anche che il miglior modo per segnalare falle di sicurezza in SPIP è di scrivere una mail a spip-team [AT] rezo.net

Dernière modification de cette page le 1 settembre 2009

Retour en haut de la page

Rispondere all’articolo

Chi sei?

Per mostrare qui il tuo avatar, registralo prima su gravatar.com (gratis e indolore). Non dimenticare di fornire il tuo indirizzo email.

Inserisci qui il tuo commento Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Aggiungi un documento

Retour en haut de la page

Ça discute par ici

  • (fr) Japibas, squelette responsive

    11 octobre 2013 – 113 commentaires

    Japibas est un squelette responsive, multilingue (français, anglais et espagnol), dont l’habillage conviendrait à un site de type blog ou webzine. Le graphisme est inspiré du template Wordpress Japibas réalisé par Jesper Johansen et distribué sous (...)

  • (fr) GIS 4

    11 août 2012 – 1478 commentaires

    Présentation et nouveautés La version 4 de GIS abandonne la libraire Mapstraction au profit de Leaflet. Cette librairie permet de s’affranchir des librairies propriétaires tout en gardant les mêmes fonctionnalités, elle propose même de nouvelles (...)

  • (fr) Répétitions et Événement source du plugin Agenda : comment éviter les redondances ?

    8 avril 2015 – commentaires

    Solution perfectible mais réponse fonctionnelle à une demande récurrente et pertinente concernant le plugin Agenda : regrouper les dates des répétitions, sous le titre de leur événement source, afin d’éviter les redondances. Exemple à l’appui. Le (...)

  • (fr) Personnalisation graphique du squelette SoyezCréateurs

    19 août 2009 – 94 commentaires

    Il est possible de personnaliser l’affichage du squelette SoyezCréateurs de manière plus ou moins profonde. Changement dans les couleurs via CFG La page de CFG des couleurs de SoyezCreateurs : ecrire/ ?exec=cfg&cfg=soyezcreateurs_couleurs (...)

  • (fr) MediaBox

    10 mai 2010 – 526 commentaires

    Avertissement Le présent plugin est installé et activé par défaut sur toute les version de SPIP > 3.0. Inutile donc de l’installer manuellement sauf si vous utilisez SPIP 2.1. Aperçu La MediaBox est une Boîte multimédia polyvalente et (...)