SPIP 2.1.8 corrige une importante faille de sécurité

Une faille nous a été signalée hier matin (13 janvier 2011). Nous attirons votre attention sur le fait que, contrairement aux précédentes, cette faille est CRITIQUE. Tous les sites sous SPIP sont concernés, quels que soient leurs réglages. Les conséquences en cas d’attaque peuvent aller jusqu’à la destruction des fichiers du site et de sa base de données.

Cette faille concerne toutes les versions 2.0.x et 2.1.x de SPIP,
jusqu’à la version 2.1.6 parue le 6 janvier 2011.

Une nouvelle version stable vient d’être publiée : SPIP 2.1.8

Nous vous recommandons FORTEMENT de mettre à jour SPIP sur votre
serveur. Mais si vous n’avez pas le temps de le faire immédiatement,
prenez tout de même deux minutes pour mettre à jour (ou installer)
l’écran de sécurité, dont la version 0.9.7 bloquera une éventuelle
attaque via cette faille. (voir les liens ci-dessous.)

Nous remercions Arnault Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un
email à spip-team@rezo.net

N’hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

  1. L’écran de sécurité : si vous n’avez pas le temps de faire tout de
    suite une mise à jour complète, vous pouvez sécuriser en deux minutes
    votre site en téléchargeant la version 0.9.7 de l’écran de sécurité,
    et en la déposant dans votre répertoire config/ .

    Documentation : cf. http://www.spip.net/fr_article4200.html
    Téléchargement : http://zone.spip.org/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt

  2. spip_loader.php : si vous avez installé spip_loader,
    rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
    installer SPIP 2.1.8, et cela lancera la mise à jour de votre site vers spip 2.1.8
  3. par FTP  : SPIP 2.1.8 est disponible à l’adresse

    http://files.spip.org/spip/stable/

  4. par SVN  : si vous êtes dans la branche 2.1
    svn://trac.rezo.net/spip/branches/spip-2.1
    faites simplement svn up.

La version 2.1.8 est aussi disponible sous la branche
svn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag svn://trac.rezo.net/spip/tags/spip-2.1.8/

Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. Elle est disponible par FTP sur files.spip.org/archives

Toutes versions : L’écran de sécurité est valable pour toutes les versions de spip.

P.S : et bien sûr pour finir sur une petite note humoristique ... si jamais vous
vous posez la question de savoir où est passée la 2.1.7 la réponse est :
« Un chat s’est baladé sur le clavier et a appuyé sur le bouton de génération des paquets SPIP par mégarde »

Discussion

36 discussions

  • J’ai le même problème que Luc avec prive...

    Enas

    Répondre à ce message

  • Bonjour.

    Je viens d’installer la dernière version de spip.
    J’ai un seul souci. J’ai ce message :

    Fatal error : Call to undefined function compacte_css() in /homez.194/omathima/www/ecrire/public/composer.php(49) : eval()’d code on line 87

    quand je veux me connecter. Quel est le problème ?

    Merci d’avance.

    Le site.

    Enas

    Répondre à ce message

  • 10

    J’ai fait la mise à jour.
    Maintenant si par exemple je tape dans un navigateur : www.monsite.net/prive
    que vois-je alors ? tous les fichiers et sous dossiers du dossier privé...
    Est-ce normal ?

    • ou d’ailleurs pour tout autre sous dossier ou fichier...

    • vérifie qu’il y a bien le fichier .htaccess dans ces dossiers (avec FTP) et que le .htaccess est bien activé chez ton hébergeyr

    • Merci pour ta réponse rapide Maïeul
      le .htaccess est à la racine du site
      comment s’avoir s’il est bien activé chez l’hébergeur ?

    • il devrait y en avoir dans chacun de ces dossiers...

    • Euh... non ! (j’ai bien coché l’affichage des dossiers cachés dans mon FTP)

    • .htaccess est en revanche dans le sous dossier tmp et effectivement on ne peut y avoir access
      (www.monsite.net/tmp)...
      faut-il donc copier le fichier dans les dossiers qui ne l’ont pas ?

    • en fait le seul dossier auquel il faut interdire l’accés c’est tmp et config.

      Je t’ai répondu trop vite. Il faut que le navigateur puisse accéder aux autres dossiers.

      Si tu veux pas qu’ils soient listés, met un fichier index.html

    • tmp et config ont un fichier .htaccess
      ne connaissant pas très bien spip, peux-tu préciser au sujet de ce fichier index.html ?
      dois-je le configurer ?

    • bah ce n’est pas propre à SPIP.

      en gros le fichier .htaccess interdit d’accéder à ces repertoires, et c’est important pour des raisons de sécurité.

      Le repertoire /prive lui doit être accesible par http.

      Mais si tu ne veux pas qu’en se rendant sur /prive on voit l’ensemble du contenu (mais à vrai dire ce n’est pas très grave qu’on le voit) tu peux mettre un fichier index.html vide.

    • OK merci !

    Répondre à ce message

  • 1

    Souci avec l’écran de sécurité

    L’écran de sécurité bloque l’ajout de messages dans l’espace privé (du moins sous un article, pas essayé le reste).

    En ajoutant un message, la roue ajax continue à tourner mais le message n’est jamais accepté. Si on désactive le javascript du navigateur, on tombe sur une page http://monsite.tld/ecrire/?exec=poster_forum_prive (Error 403 : Forbidden) disant

    Error 403

    You are not authorized to view this page (exec)

    comme quand on utilise l’écran de sécurité.

    D’ailleurs, renommer ce dernier arrange l’affaire.

    • J’ai oublié de signaler que j’utilise SPIP 2.1.8 et l’écran 1.0.0.

    Répondre à ce message

  • 3

    Bonjour à tous,

    Je viens de faire la mise à jour par spip_loader, et après un temps assez bref, il m’a indiqué que « spip ne peut être installer car un site spip existe déjà » (ou qqch du même ordre). Quand je regarde la version du spip, je suis bien en 2.1.8. A-t-il seulement changé le numéro de version ou a-t-il bien fait les changements ?

    merci d’avance pour votre réponse.

    Keev

    • Bonjour,

      J’ai eu le même message.

      Comment savoir si la version 2.1.8 est bien installée ?

      Merci

    • C’est bon, j’ai eu le même message et vu les changement, vous n’avait pas de soucis a vous faire.

    • Je suis parti de ce principe, ça a l’air d’être ok...

    Répondre à ce message

  • 6

    Bonjour, j’ai installé l’écran de sécurité et j’ai ce message là dans les logs d’apache :

    PHP Notice:  Undefined variable: REQUEST_URI in /usr/share/php5/ecran_securite.php on line 64

    N’y aurait-il pas une erreur de syntaxe dans le code de l’écran sécurité ?

    Voici la ligne en question :

    if (preg_match(',^(.*/)?spip_acces_doc\.,', (string)$REQUEST_URI))

    Ne s’agirait-il pas plutôt de $_SERVER[« REQUEST_URI »] ?

    • Salut,

      J’ai le même problème, j’ai appliqué la correction, cela règle le log, mais est ce encore sécurisé :).

    • phracktale

      Ce n’est pas une erreur juste une indication qu’une variable n’a pas été déclarée, ce qui n’est pas formellement indispensable en PHP.

      il faut changer dans le php.ini la valeur de error_reporting à E_ALL & E_DEPRECATED si on est en envirronement de prod ou E_ALL & E_NOTICE sinon si on ne veut pas les notices.

    • Il n’en reste pas moins que $REQUEST_URI ne semble pas déclaré :)

    • Corrigé en http://zone.spip.org/trac/spip-zone/changeset/44288

      & on en profite pour donner la version 1.0.0 première release « stable » de l’écran

      (après 0.9.9 je n’avais guère le choix :-) )

    • Merci , trop fort !!!

    • @Fil, 0.9.10, ça marche. ;-)

    Répondre à ce message

  • Bonjour à tous

    je vens de migrer de 2.1.6 vers 2.1.8.le site fonctionne bien sauf les mots de passe inserrer dans les articles ne sont plus pris en compte . et j’ai des erreur dans le squelettes au niveau des boulces.

    Quelqu’un peut me venir en aide !!!!!!!!!!!!!!!!!!!!

    Répondre à ce message

  • Bonjour, avec cette version de spip (installée d’emblée- sans mise à jour donc) j’ai un problème avec les plugins, qui ne sont pas reconnus si je les dézip et les passe par FTP, encore moins via un lien, et voilà l’erreur affichée :
    Warning : array_merge() [function.array-merge] : Argument #1 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
    Warning : array_merge() [function.array-merge] : Argument #2 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
    Merci par avance pour votre aide

    Répondre à ce message

  • Bonjour,

    Impression PDF d’un article contenant un formulaire :

    Lorsque j’imprime en PDF avec le plugin « article_pdf_2_0 » et la version SPIP 2.1.8 un article contenant un formulaire j’obtiens, au lieu du formulaire, des lignes de code du formulaire dans le pdf qui, injectées dans ce message du forum, sont interprétée correctement dans le messages :

    Je ne sais si ’erreur provient du plugin « article_pdf_2_0 » ou de la nouvelle version SPIP 2.1.8 !

    Avez-vous une idée de l’erreur ?

    cordialement

    FDG

    Répondre à ce message

  • Bonjour,

    Désireux de limiter les problèmes de compatibilité avec les plugins, j’ai choisi de faire la mise à jour SPIP-2.0.10 vers SPIP-2.0.13 (car comme il est écrit ci-dessus : « Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. »)

    Or après l’upload FTP et en dépit d’avoir vidé le cache, je n’obtient aucune réaction lors de ma connexion dans l’espace privé. Le pied de page de l’espace privé indique toujours : SPIP 2.0.10 [14698].

    Comment savoir si la mise à jour a fonctionné ?

    Merci pour votre aide !

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom