Mise à jour de printemps ! Nouvelles versions SPIP 1.9.2o, 2.0.18 et 2.1.13

Plusieurs failles de sécurité ont été repérées récemment dans SPIP,
(merci à Guillaume Fahrner, Arnault Pachot, Silvère Cainaud,
Maxime Pelletier,Antoine Cervoise et Christophe Imberti) et ont
été corrigées dans les nouvelles versions 1.9.2.o, 2.0.18
et 2.1.13

La plupart des failles concernent des possibilités d’injection XSS.

Écran de sécurité

L’utilisation de l’écran de sécurité mis à jour protège de la plupart des failles : vous êtes encouragés à télécharger sa version la plus récente (1.0.10 du 17 avril 2012) et à la déposer dans votre répertoire config/

Pour + d’infos sur l’écran de sécurité consulter l’article de spip.net : http://www.spip.net/fr_article4200.html

Mise à jour de SPIP

Toutefois, comme toutes les failles ne sont pas corrigées par l’écran de sécurité, nous vous recommandons fortement de mettre à jour SPIP avec les nouvelles versions.

Attention : Si votre site tourne sous PHP4 il est recommandé d’attendre la prochaine release avant de mettre à jour

1. par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.13

2. par copie des fichiers :

3. par SVN :

  • si vous êtes dans la branche 2.1 faites simplement un « svn up »
    svn ://trac.rezo.net/spip/branches/spip-2.1
  • la version 2.1.13 est aussi disponible sous la branche  :
    svn ://trac.rezo.net/spip/branches/spip-2-stable
  • et sous le tag
    svn ://trac.rezo.net/spip/tags/spip-2.1.13

Si vous avez besoin d’aide ?

N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :

Signaler une faille

Nous rappelons à toutes et tous que le meilleur moyen pour signaler
des failles, ou des suspicions de failles, est d’envoyer un email
à spip-team@rezo.net
.

Abonnez-vous !

Comment être tenu au courant de ces annonces ? Le plus simplement du monde en s’inscrivant sur la mailing liste : http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux ne sont pas en reste :

Discussion

7 discussions

  • 6

    Bonjour,
    Voici en bas de page sous php 4.4.3 (ovh) et donc le passage de 2.1.10 vers 2.1.13

    Fatal error : Call to undefined function : strpbrk() in /*****/*****//ecrire/public/stats.php on line 22
    reproduit sur deux sites différents, de plus la partie privé est dégradée comme si on ne trouvait pas les styles .

    • en effet, problème confirmé. On va donc re-releaser pour corriger cela...

    • Bonjour,

      J’ai le même problème. Quand allons-nous pouvoir avoir une mise à jour pour solutionner ce problème ?

      Merci d’avance.

    • Bonjour,
      Simplement pour signaler le même problème que celui décrit par Anic, mais qu’ en plus j’ai constaté que les « Statistiques » restaient elles, aussi bloquées à la date de la mise à jour (chez moi au 25/04).

      Je suis aussi chez OVH. Les soucis viennent-ils d’une incompatibilité cet hébergeur ou les autres travaillent-ils autrement. La dernière fois, lors d’une mise à jour, c’était la partie publique qui disparaissait et par magie (ou et pas mal recherches) revenait en changeant le format « images » en « convert ».
      Vaut-il mieux changer d’hébergeur ?
      Dans tous les cas merci pour votre boulot.

    • Fatal error : Call to undefined function : strpbrk() in /*****/*****//ecrire/public/stats.php on line 22

      Idem chez Free, qui n’est pas vraiment un hébergeur mais il y a encore des sites en SPIP 2 chez eux. Merci !

    • Bonjour, je confirme le même problème chez Free. Merci pour votre aide.

    • Christian Julia

      Bonjour,

      Même problème de Fatal error chez Free avec la version 2.1.13. De plus, à chaque fois que je valide une action sur l’espace privé (enregistrement d’un article, publication en ligne...), un message dans une boîte verte me dit : « Si votre navigateur n’est pas redirigé, cliquez ici ». Une nouveauté ? De plus, les icônes pour passer de l’espace public à l’espace privé n’apparaissent plus. Est-ce un problème avec la version php de Free : PHP Version 4.4.3-dev ? Si oui, est-ce que je peux revenir à la version 2.1.10 que j’utilisais avant (j’ai une sauvegarde de base de données avec cette version).

      Merci pour votre réponse.

    Répondre à ce message

  • 6

    Hello,

    Il y a un bug au moment de l’upload de fichier dans un article sur cette verison 2.1.13 .. à la fin de l’upload, un appel JS est censé afficher l’image .. et oops .. erreur js .. et la roue tourne à l’inifini ..

    C’est à cause de prive/javascript/jquery.form.js qui a été mis à jour
    Le fichier async_upload.php, lui, appelle des fonctions qui ne sont plus dans la nouvelle version de jquery.form.js ...

    bref .. il faut garder son vieux jquery.form.js pour ne pas rencontrer ce désagrément ..

    • Je confirme le bug sur et le « patch ». Merci fwedboot !

    • Bonjour,
      Revenir à l’ancienne version de jquery.form.js ne suffit pas. Lorsqu’on veut télécharger un zip contenant des images pour décompression, l’option « titrer selon le nom des fichiers » ne fonctionne plus, ce qui peut être gênant lorsqu’on veut faire une galerie rapidement. Pour ma part, j’ai solutionné temporairement l’anomalie en reprenant également l’ancienne version de ecrire/inc/ajouter_documents.php.
      Ce n’est sans doute pas idéal mais en attendant mieux...

    • Salut, cela doit être corrigé par les commits suivants dans async_upload.js :

      http://core.spip.org/projects/spip/repository/revisions/19308

      http://core.spip.org/projects/spip/repository/revisions/19309

      Merci pour le signalement ++

    • Bonjour,

      Au 4 mai, ce bug est toujours présent quand on telecharge la dernière version stable en zip, avez-vous une date de sortie d’une version qui intégre la correction ?

      Merci !

    • J’ai appliqué les révisions 19308 et 19309 ci-dessus et cela corrige effectivement le problème d’upload qui tournait dans le vide. C’était le plus important, merci ! (Attention de bien vider les caches spip et navigateur pour prise en compte du nouveau async_upload.js...)
      Mais, par contre, cela ne corrige pas le problème sur l’option « titrer selon le nom des fichiers » à la décompression d’un fichier zip que j’évoquais dans mon précédent message. Les images sont bien extraites du zip, elles apparaissent bien, mais sans titre.
      Merci b_b pour les commits.

    • Le bug du titrage automatiques des documents extraits d’un zip est aussi corrigé et sera présent dans la future 2.1.14 qui sera disponible dès qu’on aura un moment pour faire la release.

      ++

    Répondre à ce message

  • Bonjour,
    quelle version de .js intègre cette nouvelle mouture ... toujours la 1.4 ?

    Répondre à ce message

  • 4

    Salut,
    Juste pour signaler que la majorité des sites sous spip que je gère se font hacker (injection de code dans index.php, qui envoie vers un téléchargement de virus) que ce soit avant ou après mise à jour 2.1.13...
    Bref c’est un peu la cata là... :S

    • Salut, as-tu vérifié que tu ne t’es pas tout simplement fait hacker ton accès ftp? Il faudrait vérifier tes logs ftp et surtout changer le mot de passe des comptes ftp qui ont accès à ton serveur. L’adresse d’un de tes sites hackés pourrait être utile pour qu’on y jette un œil.

      ++

    • Salut,
      Le truc c’est que je suis assez étonné que cela soit arrivé sur 3 de mes sites, avec hébergeurs différents... Mais peut être que j’accuse Spip à tort ! Je voulais également savoir si cela était arrivé récemment à d’autres.
      Voilà, après donner les adresses ne va pas changer grand chose vu que j’ai fait les corrections, et également par sécurité changé les ftp. J’essaierais de vous tenir au courant, merci pour la réponse.

    • je te conseille la lecture de cet article qui donne des liens vers des outils qui te permettront de savoir si tu as été victime d’attaque de ce type :

      http://zzz.rezo.net/Securite-attention-au-ver-Gumblar.html

      ++

    • Merci pour le lien.
      Cela ressemble en effet à mon cas.
      Ça sent le bon nettoyage de PC :)
      Merci encore.

    Répondre à ce message

  • 3

    Bonjour,

    Depuis que je suis passé à la version 2.1.13, je ne peux plus accéder à l’espace privé.

    J’obtiens, quand ça ne tourne pas en boucle en continu le message :

    Le système a rencontré une erreur lors de l’écriture du fichier ../tmp/sessions/1_323b2e6b875431d8a806d2e15503f8bc.php. Veuillez, en tant qu’administrateur du site, vérifier les droits d’écriture sur le répertoire tmp/sessions.

    • Bonjour

      As tu vider le tmp via ftp? Est ce que tu as bien les droits sur le dossier ?

    • Bonjour Pierre,

      Oui j’ai vidé le dossier TMP par FTP et dans ce cas l’espace privé redevient accessible pendant 2 minutes puis le problème revient.

      Par contre je me suis rendu compte que je ne pouvais pas lire ni supprimer le fameux dossier « Sessions ».

      Je suis bloqué.

    • Bon j’ai réussi à supprimer le dossier Sessions par FTP mais il fallait pour cela que j’affiche les fichiers cachés.

      Depuis ça semble refonctionner.

      J’avais quand même plus de 10 000 fichiers dans ce dossier Sessions.

    Répondre à ce message

  • 5

    Une mises-à-jour qui apporte bien plus de bugs et de failles que d’améliorations, courage vous allez y arriver à sortir quelques choses de stable :)

    Bonne continuation

    • tu as constaté d’autes bugs non signalés ici ?

    • des failles ???

      sérieux...

    • Jérôme

      Sur la page privé de gestion des plugins

      J’ai toujours :

      2 Erreur(s) dans le squelette
      Numéro message squelette boucle Ligne
      1 Aucun squelette .html n’est disponible... / /
      2 Aucun squelette .html n’est disponible...

      Est-ce un bug ou comment puis-je résoudre ce souci ?

    • bonjour,

      ça ressemble à un inclure qui ne trouve pas son fichier

      mais il faudrait un peu plus d’info...
      y’a-t-il des plugins activés ? qui interviennent dans l’affichage de l’espace privé ?
      une fois vidé tmp/cache/ que se passe-t-il ?
      ...

    • Jérôme

      Pour les plugins activés pas que je sache

      voici la liste

      Agenda 2.3.0 - stable
      Associaspip 2.1.0 - en développement
      Boite à outils pour articles 0.3 - stable
      cfg : moteur de configuration 1.16.0 - stable
      Champs Extras2 1.10.1 - en test
      Crayons 1.9.7 - stable
      Formulaire de contact avancé 0.62 - stable
      Formulaires et Tables 0.4.1 - en test
      Interface pour Champs Extras 1.3.0 - en développement
      iSPIP 2.0 1.12 - en test
      Itérateurs 0.6.1 - en test
      Le Couteau Suisse 1.8.29.02 - stable
      Lecteur Multimédia 0.77.0 - stable
      Mediathèque 1.6.12 - stable
      Saisies pour formulaires 1.23.2 - en test
      Séances 1.2 - stable
      Social tags 0.9.14 - stable
      SPIP Bonux 2.2.15 - stable
      SPIP-Listes 2.0157 - en test
      Thumbsites 0.3 - stable

      Pour le cache : je vais essayer...
      Merci pour ta réponse en tout cas.

    Répondre à ce message

  • 1

    Bonjour,

    Pour les retardataires (constaté en 2.1.10) cette mise à jour nécessite php5.

    Ce défaut est visible depuis l’espace privé, qui perd sa mise en forme, et une ligne d’erreur en bas de page depuis le site public.

    l est souvent possible de le faire depuis le .htaccess en y ajoutant une ligne de code qui dépend de l’hébergeur.
    Par exemple chez ovh c’est Set_Env PHP_VER 5

    Et comme toujours pour voir votre version de php : http://www.monsite/ecrire/?exec=info

    • Non PHP 5 ne devrait pas être plus obligatoire qu’avant sur une release mineure. Peux-tu indiquer les messages d’erreur que tu as ?

    Répondre à ce message

Ajouter un commentaire

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom

Dernière modification de cette page le 23 avril 2012