SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

286 Plugins, 197 contribs sur SPIP-Zone, 321 visiteurs en ce moment

Accueil > Vie de SPIP et autour de SPIP > SPIP-core > Mise à jour de sécurité SPIP 2.1.9

Mise à jour de sécurité SPIP 2.1.9

25 mars 2011 – par L’équipe de SPIP-Contrib – 11 commentaires

Toutes les versions de cet article : [Español] [français]

21 votes

Bonjour,

nos services (merci encore une fois Arnault) viennent de découvrir un trou de sécurité dans SPIP, permettant une injection de type cross-site-scripting (XSS).

L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005), il est clair que TOUTES les versions de SPIP sont touchées.

Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html, qui se trouve dans le répertoire :

  • dist/ en version SPIP 1.9
  • squelettes-dist/ en version SPIP 2.0 ou 2.1
  • extensions/dist_2007/ en version de dev

Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.9

3. par FTP : SPIP 2.1.9 est disponible à l’adresse http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; faites simplement svn up

  • dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
  • dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
  • sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/

Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14 que vous trouverez sur http://files.spip.org/spip/archives/

Dernière modification de cette page le 26 mars 2011

Retour en haut de la page

Vos commentaires

  • Le 28 mars 2011 à 14:40, par Spip-User En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Suite à cette mise à jour, le message d’erreur qui doit s’afficher (issu du fichier langue public_fr.php par exemple) ne « traduit » plus les caractères accentués :

    1. Il n'y a pas d'article à cette adresse

    Comment faire pour que les caractères accentués passent à nouveau ?

    • Le 3 avril 2011 à 17:49, par Oggiwan En réponse à : Mise à jour de sécurité SPIP 2.1.9

      On peut tenter d’écrire :

      (#ENVerreur

      Mais j’ignore si l’emploi de cette fonction PHP ne réintègre pas la faille corrigée par la mise à jour de sécurité...

    Répondre à ce message

  • Le 30 mars 2011 à 15:14, par Cyril En réponse à : Mise à jour de sécurité SPIP 2.1.9

    D’abord je rejoint le commentaire d’avant. Un grand merci à tous ceux qui travail dans l’ombre pour faire avancer SPIP.

    J’aurai une petite question. Je gére le site internet www.voyagesbaroude.com où il y a un forum les gens peuvent laisser des commentaires à partir d’un article comme là. Je l’ai mis en mode (Modération à priori dans l’espace privé) mais j’ai des commentaires qui sont publiés sans mon aval alors que je suis le seul administrateur du site es-que la faille 404 pourrait y avoir contribué ou ça aucun rapport.

    Merci d’avance pour les réponse

    Cyril

    Répondre à ce message

  • Le 28 mars 2011 à 14:39, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    ok, merci !

    Répondre à ce message

  • Le 28 mars 2011 à 11:23, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    En fait je voulais savoir si l’actualisation suffit ou si on est obligé de modifier également le fichier 404.html customisé ; mais je viens de voir (sur la liste rezo) que l’actualisation suffit , merci.

    • Le 28 mars 2011 à 12:30, par Meuh En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Si tu as un fichier squelettes/404.html, je te conseille de le modifier également !

    • Le 28 mars 2011 à 12:47, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Mais c’est nécessaire ou seulement recommandé ?

      Je demande car j’ai beaucoup de sites à actualiser et si je ne dois pas vérifier à chaque fois si il y a un 404 personnalisé et le modifier, cela m’arrange.

      Rainer

    • Le 28 mars 2011 à 13:36, par Maïeul En réponse à : Mise à jour de sécurité SPIP 2.1.9

      c’est nécéssaire vu que c’est ce code [(#ENV*{erreur}|propre)] qui pose pb.

    Répondre à ce message

  • Le 28 mars 2011 à 10:17, par Rainer Müller En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Dans le cas ou on a personalisé le 404.html , est-ce que une mise à jour suffit, ou doit-on encore modifier le 404.html personnalisé ?

    • Le 28 mars 2011 à 11:02, par Meuh En réponse à : Mise à jour de sécurité SPIP 2.1.9

      Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}.

      Ce fichier 404.html est généralement dans squelettes/

    Répondre à ce message

  • Le 28 mars 2011 à 09:22, par Eric En réponse à : Mise à jour de sécurité SPIP 2.1.9

    Merci à l’équipe SPIP, à vous, à nous ! ;-)

    Répondre à ce message

Répondre à cet article

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Ajouter un document

Retour en haut de la page

Ça discute par ici

  • Le plugin ZotSpip

    28 mai 2012 – 136 commentaires

    Synchronise Spip avec une bibliothèque (personnelle ou partagée) de références bibliographiques Zotero. Utilisez Zotero pour gérer / importer / rédiger vos références bibliographiques, puis incorporez vos références bibliographiques dans votre Spip avec (...)

  • Newsletters

    16 janvier 2013 – 410 commentaires

    Ce plugin permet de composer des Info-lettres. Par info-lettre, on désigne ici le contenu éditorial qui va être composé et envoyé par courriel à une liste d’inscrits. Le plugin permet de composer une info-lettre à partir d’un modèle pré-composé, (...)

  • Les contributions pour un nouveau logo

    25 juin 2015 – 23 commentaires

    Une synthèse des propositions de logo pour SPIP. A. Le travail initial de Sébastien http://notes.desbenoit.net/Un-nouveau-logo-pour-Spip-les B. Une proposition de Casp http://www.cas-p.net/Essai-de-logo-SPIP C. Une variante de (...)

  • SPIP chez « Free.fr »

    10 avril – commentaires

    Spip sur free.fr c’est possible, mais compte-tenu des configurations serveurs très « serrées » (et du fait que tous les serveurs ne sont pas identiques semble-t-il), c’est à vos risques et périls que vous vous lancerez dans l’aventure. N’oubliez pas, par (...)

  • bigfoot

    16 juin 2015 – 70 commentaires

    Un plugin qui facilite l’utilisation des notes de bas de page en les affichant dans des infobulles à l’aide d’un peu de javascript. Le constat de l’auteur du script : Les notes de bas de page sur le web sont une plaie. Tu dois d’abord essayer de (...)