Nous remercions Arnault Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.
Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un
email à spip-team@rezo.net
N’hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l’aide sur cette migration :
- liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- forum : http://forum.spip.org/
- irc : http://spip.net/irc
Comment mettre à jour ?
Comme d’habitude, plusieurs possibilités pour la mise à jour :
- L’écran de sécurité : si vous n’avez pas le temps de faire tout de
suite une mise à jour complète, vous pouvez sécuriser en deux minutes
votre site en téléchargeant la version 0.9.7 de l’écran de sécurité,
et en la déposant dans votre répertoireconfig/
.Documentation : cf. http://www.spip.net/fr_article4200.html
Téléchargement : http://zone.spip.org/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt - spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
installer SPIP 2.1.8, et cela lancera la mise à jour de votre site vers spip 2.1.8 - par FTP : SPIP 2.1.8 est disponible à l’adresse
- par SVN : si vous êtes dans la branche 2.1
svn://trac.rezo.net/spip/branches/spip-2.1
faites simplement svn up.
La version 2.1.8 est aussi disponible sous la branchesvn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag svn://trac.rezo.net/spip/tags/spip-2.1.8/
Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. Elle est disponible par FTP sur files.spip.org/archives
Toutes versions : L’écran de sécurité est valable pour toutes les versions de spip.
P.S : et bien sûr pour finir sur une petite note humoristique ... si jamais vous
vous posez la question de savoir où est passée la 2.1.7 la réponse est :
« Un chat s’est baladé sur le clavier et a appuyé sur le bouton de génération des paquets SPIP par mégarde »
Discussions par date d’activité
36 discussions
J’ai le même problème que Luc avec prive...
Enas
Répondre à ce message
Bonjour.
Je viens d’installer la dernière version de spip.
J’ai un seul souci. J’ai ce message :
Fatal error : Call to undefined function compacte_css() in /homez.194/omathima/www/ecrire/public/composer.php(49) : eval()’d code on line 87
quand je veux me connecter. Quel est le problème ?
Merci d’avance.
Le site.
Enas
Répondre à ce message
J’ai fait la mise à jour.
Maintenant si par exemple je tape dans un navigateur : www.monsite.net/prive
que vois-je alors ? tous les fichiers et sous dossiers du dossier privé...
Est-ce normal ?
ou d’ailleurs pour tout autre sous dossier ou fichier...
vérifie qu’il y a bien le fichier .htaccess dans ces dossiers (avec FTP) et que le .htaccess est bien activé chez ton hébergeyr
Merci pour ta réponse rapide Maïeul
le .htaccess est à la racine du site
comment s’avoir s’il est bien activé chez l’hébergeur ?
il devrait y en avoir dans chacun de ces dossiers...
Euh... non ! (j’ai bien coché l’affichage des dossiers cachés dans mon FTP)
.htaccess est en revanche dans le sous dossier tmp et effectivement on ne peut y avoir access
(www.monsite.net/tmp)...
faut-il donc copier le fichier dans les dossiers qui ne l’ont pas ?
en fait le seul dossier auquel il faut interdire l’accés c’est tmp et config.
Je t’ai répondu trop vite. Il faut que le navigateur puisse accéder aux autres dossiers.
Si tu veux pas qu’ils soient listés, met un fichier index.html
tmp et config ont un fichier .htaccess
ne connaissant pas très bien spip, peux-tu préciser au sujet de ce fichier index.html ?
dois-je le configurer ?
bah ce n’est pas propre à SPIP.
en gros le fichier .htaccess interdit d’accéder à ces repertoires, et c’est important pour des raisons de sécurité.
Le repertoire /prive lui doit être accesible par http.
Mais si tu ne veux pas qu’en se rendant sur /prive on voit l’ensemble du contenu (mais à vrai dire ce n’est pas très grave qu’on le voit) tu peux mettre un fichier index.html vide.
OK merci !
Répondre à ce message
Souci avec l’écran de sécurité
L’écran de sécurité bloque l’ajout de messages dans l’espace privé (du moins sous un article, pas essayé le reste).
En ajoutant un message, la roue ajax continue à tourner mais le message n’est jamais accepté. Si on désactive le javascript du navigateur, on tombe sur une page
http://monsite.tld/ecrire/?exec=poster_forum_prive
(Error 403 : Forbidden) disantcomme quand on utilise l’écran de sécurité.
D’ailleurs, renommer ce dernier arrange l’affaire.
J’ai oublié de signaler que j’utilise SPIP 2.1.8 et l’écran 1.0.0.
Répondre à ce message
Bonjour à tous,
Je viens de faire la mise à jour par spip_loader, et après un temps assez bref, il m’a indiqué que « spip ne peut être installer car un site spip existe déjà » (ou qqch du même ordre). Quand je regarde la version du spip, je suis bien en 2.1.8. A-t-il seulement changé le numéro de version ou a-t-il bien fait les changements ?
merci d’avance pour votre réponse.
Keev
Bonjour,
J’ai eu le même message.
Comment savoir si la version 2.1.8 est bien installée ?
Merci
C’est bon, j’ai eu le même message et vu les changement, vous n’avait pas de soucis a vous faire.
Je suis parti de ce principe, ça a l’air d’être ok...
Répondre à ce message
Bonjour, j’ai installé l’écran de sécurité et j’ai ce message là dans les logs d’apache :
N’y aurait-il pas une erreur de syntaxe dans le code de l’écran sécurité ?
Voici la ligne en question :
Ne s’agirait-il pas plutôt de $_SERVER[« REQUEST_URI »] ?
Salut,
J’ai le même problème, j’ai appliqué la correction, cela règle le log, mais est ce encore sécurisé :).
Ce n’est pas une erreur juste une indication qu’une variable n’a pas été déclarée, ce qui n’est pas formellement indispensable en PHP.
il faut changer dans le php.ini la valeur de error_reporting à E_ALL & E_DEPRECATED si on est en envirronement de prod ou E_ALL & E_NOTICE sinon si on ne veut pas les notices.
Il n’en reste pas moins que $REQUEST_URI ne semble pas déclaré :)
Corrigé en http://zone.spip.org/trac/spip-zone/changeset/44288
& on en profite pour donner la version 1.0.0 première release « stable » de l’écran
(après 0.9.9 je n’avais guère le choix :-) )
Merci , trop fort !!!
@Fil, 0.9.10, ça marche. ;-)
Répondre à ce message
Bonjour à tous
je vens de migrer de 2.1.6 vers 2.1.8.le site fonctionne bien sauf les mots de passe inserrer dans les articles ne sont plus pris en compte . et j’ai des erreur dans le squelettes au niveau des boulces.
Quelqu’un peut me venir en aide !!!!!!!!!!!!!!!!!!!!
Répondre à ce message
Bonjour, avec cette version de spip (installée d’emblée- sans mise à jour donc) j’ai un problème avec les plugins, qui ne sont pas reconnus si je les dézip et les passe par FTP, encore moins via un lien, et voilà l’erreur affichée :
Warning : array_merge() [function.array-merge] : Argument #1 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
Warning : array_merge() [function.array-merge] : Argument #2 is not an array in /home/fpdphe/fpdphe.org/ecrire/inc/charger_plugin.php on line 479
Merci par avance pour votre aide
Répondre à ce message
Bonjour,
Impression PDF d’un article contenant un formulaire :
Lorsque j’imprime en PDF avec le plugin « article_pdf_2_0 » et la version SPIP 2.1.8 un article contenant un formulaire j’obtiens, au lieu du formulaire, des lignes de code du formulaire dans le pdf qui, injectées dans ce message du forum, sont interprétée correctement dans le messages :
Je ne sais si ’erreur provient du plugin « article_pdf_2_0 » ou de la nouvelle version SPIP 2.1.8 !
Avez-vous une idée de l’erreur ?
cordialement
FDG
Répondre à ce message
Bonjour,
Désireux de limiter les problèmes de compatibilité avec les plugins, j’ai choisi de faire la mise à jour SPIP-2.0.10 vers SPIP-2.0.13 (car comme il est écrit ci-dessus : « Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. »)
Or après l’upload FTP et en dépit d’avoir vidé le cache, je n’obtient aucune réaction lors de ma connexion dans l’espace privé. Le pied de page de l’espace privé indique toujours : SPIP 2.0.10 [14698].
Comment savoir si la mise à jour a fonctionné ?
Merci pour votre aide !
Répondre à ce message
Bonsoir,
J’ai un souci depuis le passage à la 2.1.8 (depuis la 1.8.2d).
J’avais personnalisé 3 #formulaire_forum pour 3 utilisations distinctes :
- 3 x fichiers personnalisés dans /formulaires/ du type forum_x.html
- 3 x appels depuis mes fichiers dans squelettes forum_x.html avec la balise #FORMULAIRE_FORUM_X
- 3 x fichiers dans /ecrire/balise du type formulaire_forum_x.php
Hors cette méthode ne fonctionne plus, je n’obtiens plus le ticket d’authentification et la prévisualisation ne passe plus.
Avez-vous une solution ou un sujet qui traiterait de la duplication de plusieurs #FORMULAIRE_FORUM ? Merci bien à la communauté. Yvan
Bonjour j’ai exactement le meme probleme !!!!! Mes fichiers modifiés ne sont plus acceptés en passant de 1.9 à 2.1 comme si la connexion au forum sautait (plus de demande de connection et prévisualisation ne marche plus). Si vous avait une issue pour avoir plusieurs formulaire cote a cote sous une version 2.1 ce serait cool.
MERCI et bon weekend.
Répondre à ce message
Plus aucun mot compte ne fonctionne depuis passage en 2.1.8
Je suis passé d’une version 2.1.x vers 2.1.8 récemment et je viens de m’apercevoir que plus aucun compte utilisateur ne peut se connecter y compris le compte administrateur.
J ’ai suivi la procédure « perte de mot de passe » (et ce pour plusieurs comptes) , on m’a bien renvoyé un lien par email pour donner le nouveau mot de passe, ce que je fais mais de nouveau impossible de se connecter : « Erreur de mot de passe. »
J’ai aussi suivi les conseils de cet article
http://www.spip.net/fr_article1472.html
Sans plus de succès
Une idée ?
Merci
patrice
J’ai eu un problème semblable avec Iceweasel (firefox) sous Debian.
L’utilisation d’un autre navigateur ne reproduisait pas le problème ...
Je n’ai pas d’explication, mais ça peut être une piste pour toi.
Rudu
Répondre à ce message
Bonjour,
SPIP 2.1.8 nous pose un problème avec le plugin « Forms & Tables ».
En effet :
Le plugin FORMS & TABLES est opérationnel avec SPIP 2.1.2, il ne l’est plus avec SPIP 2.1.8, si ce n’est à condition de mettre en place une règle de redirection qui réécrit l’URL lorsque le segment /ecrire/ est répété deux fois comme suit /ecrire/ecrire/. Dès lors le plugin fonctionne normalement.
Nous avons donné une description du problème et de ses rémédiations ici :
Bonne continuation et meilleurs messages
FDG
Répondre à ce message
Bonjour à tous,
J’ai scrupuleusement suivi la procédure en optant pour l’installation.
Après remplacement par FTP de tous les fichiers, le site est en erreur 500 à la racine et le répertoire /ecrire affiche une page blanche (y compris dans le code source).
Une piste quelqu’un ?
Merci bcp !
L’installation manuelle voulais-je dire dans ma première ligne.
Merci
Du coup, j’hésite avant de recommencer sur d’autres Spip. :/
Répondre à ce message
Yo,
Rien n’à signaler pour ma part sur un hébergement free.fr
Merci à Matsumaya !
Répondre à ce message
Bonjour,
J’ai donc fait une réinstallation, puis activé plugin par plugin. Voici ce que j’ai noté comme dysfonctionnements par rapport aux plugins (si ça peut vous servir... en retour, si vous trouvez une solution... pensez à moi : ?)
Voilà. Je n’ai pas tout testé, mais cela a mis la pagaille dans mon site, c’est certain : il faudra du temps avant qu’il s’en remette. D’un autre côté, c’est un site si discret que très peu viennent le voir !!! Ce qui m’embête plus, ce sont les misse à jour des sites « sérieux » que je vais avoir à faire...
Dans l’attente de petits conseils...
KMk.
Répondre à ce message
KMK, regarde du côté de la casse, j’ai planté totalement le site pour des majuscules...
Alain
Répondre à ce message
Bonsoir,
Je reviens sur mon post du 23 janvier : « erreur table SQL « SPIP_EVA_HABILLAGE_IMAGES » inconnue ». Le problème est résolu définivement :-) Il s’agissait d’un problème de majuscules dans le squelette alors que les tables avaient été forcées en minuscules par la 2.18... Celà a supposé de reprendre tous les html du squelette pour transposer en minuscules... et tout refonctionne à la perfection !
Ceci dit, et dauf pour râler, tenez-vous en aux minuscules et oubkiez ces majusucles...
Alain
Répondre à ce message
Bonjour,
Pour essayer de suivre la mise à jour, j’ai passé mon site qui était en 2.1.0 à la version 2.1.8.
Pour le moment, je constate une erreur dans l’espace privé, à cette page
/ecrire/?exec=admin_vider
: double occurrence de INSERT_HEAD.Je vous en dirai plus après avoir testé les différentes fonctionnalités installées (plugins, etc...)
Bonne continuation !
KMk
Bonjour,
J’ai bien fait la mise à jour, comme dit hier. Aujourd’hui, impossible de me connecter. Un ensemble de message d’erreur s’affiche :
Lorsque je clique sur la ligne :
Vous êtes enregistré... par ici...
J’obtiens ce message d’erreur :
Bon, là, je suis réellement embêtée... Quel problème y a-t-il sur cette ligne 207 ?
Merci d’avance pour votre éclairage !
KMk.
Euh... petite précision, j’ai fait un téléchargement par ftp de spip 2.1.8 sur spip 2.1.0, sans passer par le spip loader... pour écraser les anciens fichiers (sauvegardés au préalable).
Cordialement,
KMk.
... et, autre précision, mon navigateur accepte les « petits gâteaux aux pépites de chocolat », dits autrement « cookies ».
La suppression du dossier sesssions dans tmp, puis la recréation, avec la mise en place de droits chmod 777 résout-elle le problème ?
Bonjour,
Je viens d’effectuer les manipulations, mais le diagnostic est le même...
Bigre !
D’autres petites lueurs ?
KMk.
Il faudrait désactiver les plugins un par un, en commençant par le plugin spip-pmb qui modifie le processus de connexion de spip et n’est peut être pas compatible avec spip 2.1.8 ?
pour désactiver spip-pmb, il faut renommer le dossier plugin/spip-pmb
Répondre à ce message
Bonjour,
Actuellement j’utilise la version 1.9.2i, est ce que c’est nécessaire d’appliquer cette mise à jour ?
Cordialement.
Répondre à ce message
Bonjour,
j’aurais besoin de desactiver l’écran de sécurité pour certaines parties de mon domaine.
Je m’explique j’ai un spip à la racine et des wordpress dans des autres répertoires. Ceux-ci sont affectés par le filtrage de l’écran de sécurité.
Est ce que quelqu’un a une syntaxe correcte pour desactiver l’autoprepend pour un répertoire donné (via un .htaccess par ex) ou dans un via le httpd.conf ?
Merci,
(PS : Au passage on avait le même problème avec phpmyadmin mais ça a été fixé par le 0.9.9.)
Répondre à ce message
Bonjour,
J’ai l’impression que la mise à jour de Spip a provoqué de nombreux problèmes. Je ne sais pas si c’est comme cela à chaque fois ou particulier à cette mise à jour.
Pour ma part, j’ai installé uniquement l’écran de sécurité : j’ai eu des messages d’erreurs dans tous les sens sur l’espace privé et puis j’ai eprdu l’habillage.
J’ai donc installé la totalité de la mise à jour et depuis je n’ai plus accès aux articles avec un message Fichier petitionner introuvable
C’est la cata !
Je n’ai trouvé personne pour m’aider sur le forum Spip.
Merci pour vos conseils.
Répondre à ce message
Gros problème après la mise à en 2.18 par ftp:
l’accès à l’espace privé fonctionne correctement, mais pour l’espace public, après recalcul, j’ai 6 messages d’erreur table SQL « SPIP_EVA_HABILLAGE_IMAGES » inconnue en provenance de plugins/zip_eva-web40/eva-web40/noisettes/headers/headers_avec_habillage.html pour la première erreur... et il y en 5 autres à la suite !
Une idée ?
Répondre à ce message
Après la mise à jour à 2.1.8 j’obtiens ce message lorsque je tente d’accéder à la page d’accueil de l’espace privé :
Des idées ?
Merci !
Répondre à ce message
Il me semble que pour la version plus ancienne 2.0.13, l’url devrait
http://files.spip.org/spip/archives
et non
http://files.spip.org/archives qui génère une 404.
Merci à la communauté.
Répondre à ce message
Bonjour tt le monde !
Quequ’un peut-il m’orienter pour libérer à l’accès privé de nos rédacteurs qui est devenu impossible après l’installation de la nouvelle version de spip2.1.8.En effet, plusieurs utilisateurs qui utilisaient l’espace privé du site n’arrivent pas à accéder avec cette nouvelle version.
Merci de nous répondre !
Répondre à ce message
Bonjour,
Toujours sous Spip 1.92, je constate une saturation du fichier « Cache » depuis 1 mois. Et cela sur deux de mes bases. Je ne vois pas d’où cela peut-il venir. Est-ce un effet de la faille décrite ?
Quelqu’un rencontre-t-il le même problème ?
Merci.
A++
Répondre à ce message
Ce qui serait bien c’est de mettre le bon zip dans le dossier....
http://files.spip.org/spip/stable/ ca ramène vers le zip 2.1.6 dixit le svn.revision.
obligé d’aller dans les archives et de prendre la 2.1.8 très logique tout ça...
ca la fou un peu mal de voir UP le 14-01-2011 et que le dernier commit sur le svn.revision indique le 02-01-2011....
En espérant voir cela corriger rapidement, la bonne archive 2.1.8 se trouve là :
http://files.spip.org/spip/archives/SPIP-v2-1.8.zip
Dommage, avec ce manque de professionnalisme, spip pers un peu en crédibilité.
Le paquet spip/stable/spip.zip a bien été branché sur la version 2.1.8 par le comit http://core.spip.org/projects/spip/repository/revisions/16967 et en le téléchargeant je trouve bien les informations relatives à la version 2.1.8. Il faut croire que ton navigateur a gardé en cache une version 2.1.6, ou que tu utilises un proxy qui n’a pas mis a jour son cache, ou que tu as mélangé les zip.
Dommage, avec ce professionnalisme, tu perds un peu en crédibilité.
Cédric : .... professionnalisme ? mais c’est la première fois que j’aborde le job de webmestre ! ... Je prends ça comme un encouragement ;)
Ce dont je suis sûr :
- j’utilise bien le bon zip
- j’ai retenté plusieurs fois en vidant le cache de mon navigateur (IE et Firefox)
- pour filezilla 3.3.5.1 : je ne vois pas de commande pour vider le cache, même dans édition/paramètres/connexion (contrairement à ce que j’ai lu par çi par là)
J’ai retenté l’update cette fois avec spip_loader qui me renvoie : 500 Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request.
J’avoue que je suis perdu.
Le zip que j’utilisais avait été téléchargé à l’adresse du point 3 de « Comment mettre à jour » dans cet article. Ca marche du premier coup avec le zip situé à l’adresse donnée par Keitaro.
De quoi dérouter un novice en effet. Grand merci Keitaro
Peu de temps après le post de mon message, le svn.revision indiqué bien 2.1.8 et non là 2.1.6 ;)
J’avais testé via proxy classique, proxy by pass et même via externe (ovh, orange) avant de psoter mon message, ça pointé vers le 2.1.6 ;)
Niveau crédibilité à la baisse, on pourrait parler du plugin mutualisation facile, mais ce n’est pas le sujet ici.
Alors pour clore le sujet : le zip est bien bon depuis la sortie de la 2.1.8 (on ne l’a pas mis a jour entre temps l’air de rien), mais les réglages du serveur font qu’une url vers un document zip n’est rechargée par les navigateurs qu’au bout d’un mois.
Autrement dit, si tu as déjà chargé la version stable il y a moins d’un mois (donc avec un numéro antérieur), le navigateur te ressort la même de son cache sur ton ordinateur, et non le zip à jour disponible sur le serveur. On va donc corriger cela pour fournir une url qui bouge quand le zip change.
Je suis juste agacé sur les critiques gratuites sur le professionnalisme et la crédibilité.
Pour ajouter une couche sur ce que dit Cédric, je rappel que les forums de SPIP-Contrib sont là pour poser des questions sur le sujet de l’article (donc pas la peine de parler de la mutualisation facile ici) et pour s’entraider.
Il ne s’agit pas d’un service de requête type commerciale, ni d’un endroit de dépôt de plainte ou d’accusation de untel ou untel.
S’il y a un un problème, comme c’était le cas ici, inutile d’accuser de non professionalisme. D’une part parcque SPIP n’a jamais prétendu l’être : il prétend être de qualité. D’autre part, parcqu’il s’agit d’attaque relativement basse, surtout quand on déclare soit même ne pas être un professionel.
Donc à l’avenir merci d’éviter ce genre de commentaire....
ça fait réagir, c’est pas mal.
Oui une url du type « spip.x.x.x.zip » serait plus parlante pour les mise à jour ^_^
Un peu trop habitué au service support, désolé de l’amalgame.
il y a pas de quoi … t’est pas le seul à qui c’est arrivé …
Répondre à ce message
Bonjour
Je viens de suivre la procédure FTP pour passer mon site de SPIP 2.1.2 à SPIP 2.1.8.
Résultat : plus d’accès à l’interface privé (login : Access forbidden) et de plus sur l’espace public je vois que je suis toujours en 2.1.2 ...
Une âme charitable pour me guider ?
Répondre à ce message
Je viens de faire la mise à jour.... et elle me pousse à poser deux petites questions :
le spip_loader va cherche la derniere version stable de SPIP. par contre, le risque c’est que des gens fasse une mise à jour à ta place. Donc change le nom :)
Merci Maïeul.
Je n’avais pas bien compris ton message avant de faire la maj de la 2.1.6 vers la 2.1.8.
Je l’ai réalisée très simplement avec spip_loader, comme je l’avais fait quelques jours plus tôt pour passer de la 2.1.0 à la 2.1.6. Et avec encore moins de soucis, alors que je m’attendais à des difficultés avec Couteau Suisse... Chez moi, il n’y a eu vraiment aucun problème, simplement une fois la 2.1.8 installée, j’ai vu qu’il y avait une maj disponible pour Couteau Suissse, et je suis passé de 1.8.30 à 8.1.31. Et tout baigne !
C’est ensuite que je me suis dit : connaissant un site quelconque, je pourrais l’actualiser sans rien demander à personne, pour autant qu’il ait spip_loader, ce qui, si le site est un peu ancien, pourrait quand même causer quelques soucis à son proprio !
Donc c’est une bonne idée de renommer spip_loader, pour éviter ce genre de mésaventure.
Attention, renommer spip_loader ne suffit pas => sinon on obtient un message d’erreur 404 « The requested URL /spip_loader.php was not found on this server. »
Je crois qu’il faut également adapter les lignes 44 et 775 en remplaçant spip_loader.php par le nom_retenu.php. Je n’ai pas encore testé mais je vais le faire tout de suite.
Je ne comprends pas bien : Pour moi, quand j’ai voulu faire la mise à jour sur mon premier site avec le spip_loader.php , il m’a demandé de me connecter au site.
Donc comment quelqu’un pourrait-il faire la mise à jour à ma place sans les identifiants Webmestre ?
et bien tant mieux s’il demande ... en fait j’en sais rien, mais 2 protections valent mieux qu’une
Etonnant que spip_loader ne produise pas les mêmes effets sur tous les sites ! En lisant les commentaires, je me suis dit que si j’avais pu mettre à jour mon site, sans aucun obstacle, il n’en allait peut-être pas de même sur un autre site. J’ai donc essayé sur un autre site, et comme pour le mien, j’ai immédiatement la fenêtre d’installation : « Téléchargement de SPIP. Bienvenue dans la procédure d’installation automatique », etc. Il est vrai que c’est un site où j’ai aussi accès à l’espace privé : Ça m’embête d’essayer sur un site que je ne connais pas, même sans dépasser la fenêtre de maj (évidemment !).
Pour répondre à Roland, mon idée n’était pas de changer le nom de spip_loader AVANT, mais APRES la mise à jour effectuée. Et de ne remettre le nom spip_loader que lorsque une nouvelle maj serait à faire. D’ailleurs, le mieux ne serait-il pas de renommer le fichier « spip_loader.txt », pour n’avoir que l’extension à changer ?
J’ai changé le nom de spip_loader avant en modifiant les 2 lignes 44 & 775 et ça fonctionne parfaitement.
Sur un autre site, j’ai testé sans être identifié. On peut lancer spip_loader mais alors il est demandé « veuillez créer un dossier ou un fichier adminxxxxxxxxx dans /tmp ». J’en déduis donc qu’on ne peut pas mettre à jour si on n’est pas identifié comme maître de toile.
En ce qui me concerne, j’ai fait sur mon site ce que je suggérais dans mon précédent message : j’ai renommé spip_loader.php en spip_loader.txt, et depuis quand j’essaie la maj par spip_loader, je reçois ce message : Not Found - The requested URL /spip_loader.php was not found on this server. - Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Ce soir je remettrai la bonne extension, et je reéessaierai pour voir si la modif est réversible (mais a priori, y a pas de raison).
J’ai remis le fichier spip_loader.txt en spip_loader.php, et de nouveau plus d’obstacle à ma maj.
Donc c’est une bonne précaution de changer l’extension, en attendant d’avoir à faire une maj.
Une fois pour toute : le fichier
spip_loader.php
est protégé contre une exécution par un non webmestre une fois que SPIP est installé. Cela empêche donc toute utilisation malveillante.oui je sais pas ce qu’il m’a pris de dire cela ... désolé de lancer des fausses rumeurs ...
je crois qu’en fait ce qui m’a piégé c’est que j’ai pu faire une mise à jour sans avoir à me connecter à cause d’un cookie présent
Répondre à ce message
Bonjour à tous, je cherche à mettre à jour mon site Spip (commencé il n’y a même pas 1 semaine, et il me signale qu’il est impossible d’installer le spip_loader, car un SPIP est déja installé... Comme puis-je faire ?
Merci d’avance à vous !!!
J’ai eu la même chose, mais après, dans l’admin, je vois que c’est bien la nouvelle version qui est là : je suppose donc que cela a marché.
Est-ce une fausse joie et que juste le n° de la version a changé ? Sur Sarka-SPIP, elle est indiquée en clair.
Merci RGV, et effectivement la version de SPIP à changé dans l’admin, après j’espère tout de même que la mise à jour à été effectuée !!! Merci pour ta réponse je n’avais pas vu !!
Bonne soirée !
Un grand merci à toute l’équipe pour sa vigilance ! Que ferions-nous sans Spip ?! Hein ?! La mise à jour depuis 2.1.6 a fonctionné sans problème. Tout est nickel !
Répondre à ce message
J’ai été victime de cette faille et voilà, j’ai tout perdu. Tous les sites (une dizaine) que j’héberge sur mon serveur ont été détruits. Maintenant, on me redirige sur Google.
Samedi, j’avais réussi à remettre les sites à partir d’une copie de sécurité. J’ai installé l’écran de sécurité sur les sites et fait la mise à jour sur 2 autres. La nuit dernière, tout a été détruit de nouveau. Deux choses : soit le hacker a un accès à mes bases MySQL quelque soit la version de spip que j’installe, soit les patch sont inefficaces. Je vais donc devoir tout remettre en place à partir de ma copie de sécurité. J’ai bien peur que cela marque la fin de spip dans mon organisation. J’était le seul à supporter le libre ici.
J’aimerais biens savoir quel est le bénéfices que ces gens qui sabotent les sites reçoivent. Ça me semble totalement gratuit et tout simplement malveillant.
Claude
Attention, lorsqu’un site a été hacké une première fois, il faut impérativement tout vider et changer ses login/mot de passe, y compris la connexion aux bases de données. L’attaquant a en effet pu avoir accès à tes login/mot de passe mysql a la première attaque et s’en servir ensuite, même si la faille de SPIP est fermée. De même il faut être sûr qu’il n’a pas laissé un script lui donnant accès ensuite à ton serveur. D’où le conseil de tout vider avant une réinstallation propre.
Je ne sais pas quelle est la notoriété de tes sites, mais si le hacker revient après que tu aies nettoyé une première fois, cela ressemble à une action délibérée à l’encontre du site plus qu’à une attaque automatique à partir de la faille. Autrement dit, la réponse « A qui profite le crime » peut donner une idée de qui attaque.
Bon courage, quoi qu’il en soit.
pour moi la maj c’est bien passée, mais par contre les stats sont devenus fausses
plus de mise a 0 sur le jour suivant...
une idée ?
J’ai aussi remarqué que les fichiers .htaccess ont tous été modifiés.
Répondre à ce message
et les versions 1.9.2 ? concernées elles aussi ?
Répondre à ce message
Bonjour,
j’ai fait la mise à jour sans pb sur 2 sites avec SPIP loader, j’avais installé SPIP déjà comme cela.
Mais sur d’autres sites, j’avais du installer SPIP par FTP : dans ce cas, puis-je charger SPIP Loader par FTP puis faire la mise à jour comme cela, et sans dégàts ?
Merci d’avance
pas de souci parceque le spip_loader fait « comme si » tu balançais à la main
Merci Maïeul !
Cela a marché mais très bizaremment, sur plusieurs sites, plusieurs messages différents !
- SPIP est déjà installé donc pas de MAJ possible, et cf autre post, cela avait marché
- me demande de me connecter à l’admin
- se déroule normalement, me dit que c’est bon !
Répondre à ce message
Bonjour,
je viens de mettre à jour mon site Test_Latoniccia Club Plongée avec la version 2.1.8 par FTP.
La partie public du site fonctionne sans problème. Pour la partie privée j’ai systématiquement une erreur 404. J’ai supprimé le répertoire TMP,, recharger SPIP rien y fait !!!
Que faire pour retrouver un fonctionnement normal ?
Merci d’avance
En bas de la page 404 j’ai l’erreur suivante :
Je viens de repasser en SPIP 2.1.6.
Le défaut à disparu !!!!
Je continue les investigations.
Après réinstallation de la 2.1.8 tout semble fonctionner correctement coté public comme coté privé. Puis l’idée me vient de vider le cache .....
Retour de l’erreur fatal !!
Je ne sais plus quoi faire !
Merci d’un petit coup de main.
Peux-tu désactiver tes plugins, vider le cache en supprimant par FTP le contenu de
/tmp/cache/skel/
et vérifier que l’erreur ne se produit plus ? Dans ce cas il faut reactiver les plugins un à un en vidant le cache à chaque fois pour trouver le coupable.Pour desactiver les plugins sans avoir accès à l’espace privé, il suffit de renommer le dossier
plugins/
par FTP. SPIP ne trouvant plus les plugins, il va alors les désactiver.Si l’erreur se produit encore sans plugin actif, alors il faudra me fournir un accès FTP que je trouve le bug côté SPIP qui doit se produire dans certaines configurations particulières comme la tienne, et qu’on aurait pas vu lors des tests.
J’ai fini par trouver le plugin qui posait problème : Bandeau 2.1/1.1.7 - stable.
Je l’ai mis à jour avec la dernière version et le PB à disparu.
Merci te tes conseils et de ton aide.
Cordialement
Répondre à ce message
message après instal (pas une mise à jour)
Avertissement : la configuration de votre serveur HTTP ne tient pas compte des fichiers .htaccess. Pour pouvoir assurer une bonne sécurité, il faut que vous modifiez cette configuration sur ce point, ou bien que les constantes _DIR_TMP & _DIR_CONNECT (définissables dans le fichier mes_options.php) aient comme valeur des répertoires en dehors de C :/Program Files/EasyPHP5.2.10/www.
c nouveau ?
mais derniere installation en local est SPIP 2.1.1 [15871]
oui c’esr nouveau sur la 2.1.6 et suivant. C’est un message de sécurité. Ceci dit, pour une install local tu peux passer outre.
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |