SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

286 Plugins, 197 contribs sur SPIP-Zone, 259 visiteurs en ce moment

Accueil > Vie de SPIP et autour de SPIP > SPIP-core > Mise à jour de sécurité SPIP 2.1.9

Mise à jour de sécurité SPIP 2.1.9

25 mars 2011 – par L’équipe de SPIP-Contrib – 11 commentaires

Toutes les versions de cet article : [Español] [français]

21 votes

Bonjour,

nos services (merci encore une fois Arnault) viennent de découvrir un trou de sécurité dans SPIP, permettant une injection de type cross-site-scripting (XSS).

L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005), il est clair que TOUTES les versions de SPIP sont touchées.

Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html, qui se trouve dans le répertoire :

  • dist/ en version SPIP 1.9
  • squelettes-dist/ en version SPIP 2.0 ou 2.1
  • extensions/dist_2007/ en version de dev

Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.9

3. par FTP : SPIP 2.1.9 est disponible à l’adresse http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; faites simplement svn up

  • dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
  • dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
  • sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/

Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14 que vous trouverez sur http://files.spip.org/spip/archives/

Dernière modification de cette page le 26 mars 2011

Retour en haut de la page

Vos commentaires

  • Le 28 mars 2011 à 14:40, par Spip-User En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Suite à cette mise à jour, le message d’erreur qui doit s’afficher (issu du fichier langue public_fr.php par exemple) ne « traduit » plus les caractères accentués :

    1. Il n'y a pas d'article à cette adresse

    Comment faire pour que les caractères accentués passent à nouveau ?

    • Le 3 avril 2011 à 17:49, par Oggiwan En réponse à : Mise à jour de sécurité SPIP 2.1.9

      On peut tenter d’écrire :

      (#ENVerreur

      Mais j’ignore si l’emploi de cette fonction PHP ne réintègre pas la faille corrigée par la mise à jour de sécurité...

    Répondre à ce message

  • Le 30 mars 2011 à 15:14, par Cyril En réponse à : Mise à jour de sécurité SPIP 2.1.9

    D’abord je rejoint le commentaire d’avant. Un grand merci à tous ceux qui travail dans l’ombre pour faire avancer SPIP.

    J’aurai une petite question. Je gére le site internet www.voyagesbaroude.com où il y a un forum les gens peuvent laisser des commentaires à partir d’un article comme là. Je l’ai mis en mode (Modération à priori dans l’espace privé) mais j’ai des commentaires qui sont publiés sans mon aval alors que je suis le seul administrateur du site es-que la faille 404 pourrait y avoir contribué ou ça aucun rapport.

    Merci d’avance pour les réponse

    Cyril

    Répondre à ce message

  • Le 28 mars 2011 à 14:39, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    ok, merci !

    Répondre à ce message

  • Le 28 mars 2011 à 11:23, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    En fait je voulais savoir si l’actualisation suffit ou si on est obligé de modifier également le fichier 404.html customisé ; mais je viens de voir (sur la liste rezo) que l’actualisation suffit , merci.

    • Le 28 mars 2011 à 12:30, par Meuh En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Si tu as un fichier squelettes/404.html, je te conseille de le modifier également !

    • Le 28 mars 2011 à 12:47, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Mais c’est nécessaire ou seulement recommandé ?

      Je demande car j’ai beaucoup de sites à actualiser et si je ne dois pas vérifier à chaque fois si il y a un 404 personnalisé et le modifier, cela m’arrange.

      Rainer

    • Le 28 mars 2011 à 13:36, par Maïeul En réponse à : Mise à jour de sécurité SPIP 2.1.9

      c’est nécéssaire vu que c’est ce code [(#ENV*{erreur}|propre)] qui pose pb.

    Répondre à ce message

  • Le 28 mars 2011 à 10:17, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Dans le cas ou on a personalisé le 404.html , est-ce que une mise à jour suffit, ou doit-on encore modifier le 404.html personnalisé ?

    • Le 28 mars 2011 à 11:02, par Meuh En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

      Ce fichier 404.html est généralement dans squelettes/

    Répondre à ce message

  • Le 28 mars 2011 à 09:22, par Eric En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Merci à l’équipe SPIP, à vous, à nous ! ;-)

    Répondre à ce message

Répondre à cet article

Qui êtes-vous ?
  • [Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Ajouter un document

Retour en haut de la page

Ça discute par ici

  • Accès Restreint Partiel

    8 septembre 2014 – 20 commentaires

    Voulez-vous masquer une partie du contenu de vos articles aux visiteurs de passage ? et réserver la totalité à certains de vos membres ? Voulez-vous remplacer le contenu occulté par un appel à l’action (pour devenir Membre, bla bla bla...) ? Le (...)

  • Site multilingue facile

    3 mai 2012 – 97 commentaires

    Site multilingue facile permet de mettre en place facilement un site multilingue avec une langue par secteur. Introduction Même si le multilinguisme est nativement intégré dans spip, réaliser un site multilingue n’est pas toujours évident. Ce (...)

  • Nivo Slider

    2 mars 2011 – 452 commentaires

    Nivo Slider pour SPIP permet d’intégrer des diaporamas en JQuery dans vos articles et squelettes.

  • Ferme à SPIP

    3 janvier 2008 – 130 commentaires

    Un petit article synthétique qui explique en quelques mots et captures d’écrans comment faire une « ferme à SPIP » avec le plugin "Mutualisation" à partir d’un nom de domaine principal.

  • Module de paiement Paypal Express Checkout

    12 juin 2015 – commentaires

    Ce mode de paiement par Paypal Express Checkout est sécurisé et peut-être utilisé en toute confiance. Il permet également, dans le cadre de certaines boutiques, d’optimiser le workflow de paiement en sautant l’étape de création de compte et en (...)

Ça spipe par là