Mise à jour de sécurité SPIP 2.1.9

Bonjour,

nos services (merci encore une fois Arnault) viennent de découvrir un trou de sécurité dans SPIP, permettant une injection de type cross-site-scripting (XSS).

L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005), il est clair que TOUTES les versions de SPIP sont touchées.

Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html, qui se trouve dans le répertoire :

  • dist/ en version SPIP 1.9
  • squelettes-dist/ en version SPIP 2.0 ou 2.1
  • extensions/dist_2007/ en version de dev

Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.9

3. par FTP : SPIP 2.1.9 est disponible à l’adresse http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; faites simplement svn up

  • dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
  • dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
  • sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/

Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14 que vous trouverez sur http://files.spip.org/spip/archives/

updated on 26 March 2011

Discussion

6 discussions

  • 1
    Spip-User

    Suite à cette mise à jour, le message d’erreur qui doit s’afficher (issu du fichier langue public_fr.php par exemple) ne “traduit” plus les caractères accentués :

    1. Il n'y a pas d'article à cette adresse

    Comment faire pour que les caractères accentués passent à nouveau ?

    • On peut tenter d’écrire :

      (#ENVerreur

      Mais j’ignore si l’emploi de cette fonction PHP ne réintègre pas la faille corrigée par la mise à jour de sécurité...

    Reply to this message

  • D’abord je rejoint le commentaire d’avant. Un grand merci à tous ceux qui travail dans l’ombre pour faire avancer SPIP.

    J’aurai une petite question. Je gére le site internet www.voyagesbaroude.com où il y a un forum les gens peuvent laisser des commentaires à partir d’un article comme là. Je l’ai mis en mode (Modération à priori dans l’espace privé) mais j’ai des commentaires qui sont publiés sans mon aval alors que je suis le seul administrateur du site es-que la faille 404 pourrait y avoir contribué ou ça aucun rapport.

    Merci d’avance pour les réponse

    Cyril

    Reply to this message

  • Reply to this message

  • 3

    En fait je voulais savoir si l’actualisation suffit ou si on est obligé de modifier également le fichier 404.html customisé; mais je viens de voir (sur la liste rezo) que l’actualisation suffit , merci.

    • Si tu as un fichier squelettes/404.html, je te conseille de le modifier également !

    • Mais c’est nécessaire ou seulement recommandé?

      Je demande car j’ai beaucoup de sites à actualiser et si je ne dois pas vérifier à chaque fois si il y a un 404 personnalisé et le modifier, cela m’arrange.

      Rainer

    • c’est nécéssaire vu que c’est ce code [(#ENV*{erreur}|propre)] qui pose pb.

    Reply to this message

  • 1

    Dans le cas ou on a personalisé le 404.html , est-ce que une mise à jour suffit, ou doit-on encore modifier le 404.html personnalisé?

    • Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

      Ce fichier 404.html est généralement dans squelettes/

    Reply to this message

  • Merci à l’équipe SPIP, à vous, à nous ! ;-)

    Reply to this message

Comment on this article

Who are you?
  • [Log in]

To show your avatar with your message, register it first on gravatar.com (free et painless) and don’t forget to indicate your Email addresse here.

Enter your comment here

This form accepts SPIP shortcuts {{bold}} {italic} -*list [text->url] <quote> <code> and HTML code <q> <del> <ins>. To create paragraphs, just leave empty lines.

Add a document

Follow the comments: RSS 2.0 | Atom