SPIP 2.1.8 corrige une importante faille de sécurité

Une faille nous a été signalée hier matin (13 janvier 2011). Nous attirons votre attention sur le fait que, contrairement aux précédentes, cette faille est CRITIQUE. Tous les sites sous SPIP sont concernés, quels que soient leurs réglages. Les conséquences en cas d’attaque peuvent aller jusqu’à la destruction des fichiers du site et de sa base de données.

Cette faille concerne toutes les versions 2.0.x et 2.1.x de SPIP,
jusqu’à la version 2.1.6 parue le 6 janvier 2011.

Une nouvelle version stable vient d’être publiée : SPIP 2.1.8

Nous vous recommandons FORTEMENT de mettre à jour SPIP sur votre
serveur. Mais si vous n’avez pas le temps de le faire immédiatement,
prenez tout de même deux minutes pour mettre à jour (ou installer)
l’écran de sécurité, dont la version 0.9.7 bloquera une éventuelle
attaque via cette faille. (voir les liens ci-dessous.)

Nous remercions Arnault Pachot qui a découvert cette faille. SPIP 2.1.8
comprend également des correctifs concernant des bugs moins critiques
découverts par Matsumaya.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous
signaler des failles ou des suspicions de failles est d’envoyer un
email à spip-team@rezo.net

N’hésitez pas à utiliser les différents moyens mis à disposition de
la communauté pour obtenir de l’aide sur cette migration :

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

  1. L’écran de sécurité : si vous n’avez pas le temps de faire tout de
    suite une mise à jour complète, vous pouvez sécuriser en deux minutes
    votre site en téléchargeant la version 0.9.7 de l’écran de sécurité,
    et en la déposant dans votre répertoire config/ .

    Documentation : cf. http://www.spip.net/fr_article4200.html
    Téléchargement : http://zone.spip.org/trac/spip-zone/browser/_core_/securite/ecran_securite.php?format=txt

  2. spip_loader.php : si vous avez installé spip_loader,
    rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour
    installer SPIP 2.1.8, et cela lancera la mise à jour de votre site vers spip 2.1.8
  3. par FTP  : SPIP 2.1.8 est disponible à l’adresse

    http://files.spip.org/spip/stable/

  4. par SVN  : si vous êtes dans la branche 2.1
    svn://trac.rezo.net/spip/branches/spip-2.1
    faites simplement svn up.

La version 2.1.8 est aussi disponible sous la branche
svn://trac.rezo.net/spip/branches/spip-2-stable/
et le tag svn://trac.rezo.net/spip/tags/spip-2.1.8/

Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. Elle est disponible par FTP sur files.spip.org/archives

Toutes versions : L’écran de sécurité est valable pour toutes les versions de spip.

P.S : et bien sûr pour finir sur une petite note humoristique ... si jamais vous
vous posez la question de savoir où est passée la 2.1.7 la réponse est :
« Un chat s’est baladé sur le clavier et a appuyé sur le bouton de génération des paquets SPIP par mégarde »

Discussion

36 discussions

  • 1

    Bonsoir,
    J’ai un souci depuis le passage à la 2.1.8 (depuis la 1.8.2d).

    J’avais personnalisé 3 #formulaire_forum pour 3 utilisations distinctes :

    -  3 x fichiers personnalisés dans /formulaires/ du type forum_x.html

    -  3 x appels depuis mes fichiers dans squelettes forum_x.html avec la balise #FORMULAIRE_FORUM_X

    -  3 x fichiers dans /ecrire/balise du type formulaire_forum_x.php

    Hors cette méthode ne fonctionne plus, je n’obtiens plus le ticket d’authentification et la prévisualisation ne passe plus.

    Avez-vous une solution ou un sujet qui traiterait de la duplication de plusieurs #FORMULAIRE_FORUM ? Merci bien à la communauté. Yvan

    • Bonjour j’ai exactement le meme probleme !!!!! Mes fichiers modifiés ne sont plus acceptés en passant de 1.9 à 2.1 comme si la connexion au forum sautait (plus de demande de connection et prévisualisation ne marche plus). Si vous avait une issue pour avoir plusieurs formulaire cote a cote sous une version 2.1 ce serait cool.
      MERCI et bon weekend.

    Répondre à ce message

  • 1

    Plus aucun mot compte ne fonctionne depuis passage en 2.1.8

    Je suis passé d’une version 2.1.x vers 2.1.8 récemment et je viens de m’apercevoir que plus aucun compte utilisateur ne peut se connecter y compris le compte administrateur.

    J ’ai suivi la procédure « perte de mot de passe » (et ce pour plusieurs comptes) , on m’a bien renvoyé un lien par email pour donner le nouveau mot de passe, ce que je fais mais de nouveau impossible de se connecter : « Erreur de mot de passe. »

    J’ai aussi suivi les conseils de cet article
    http://www.spip.net/fr_article1472.html

    Sans plus de succès

    Une idée ?

    Merci
    patrice

    • J’ai eu un problème semblable avec Iceweasel (firefox) sous Debian.
      L’utilisation d’un autre navigateur ne reproduisait pas le problème ...
      Je n’ai pas d’explication, mais ça peut être une piste pour toi.

      Rudu

    Répondre à ce message

  • Bonjour,

    SPIP 2.1.8 nous pose un problème avec le plugin « Forms & Tables ».

    En effet :

    Le plugin FORMS & TABLES est opérationnel avec SPIP 2.1.2, il ne l’est plus avec SPIP 2.1.8, si ce n’est à condition de mettre en place une règle de redirection qui réécrit l’URL lorsque le segment /ecrire/ est répété deux fois comme suit /ecrire/ecrire/. Dès lors le plugin fonctionne normalement.

    Nous avons donné une description du problème et de ses rémédiations ici :

    Bonne continuation et meilleurs messages

    FDG

    Répondre à ce message

  • 1
    Lapin Bleu

    Bonjour à tous,

    J’ai scrupuleusement suivi la procédure en optant pour l’installation.
    Après remplacement par FTP de tous les fichiers, le site est en erreur 500 à la racine et le répertoire /ecrire affiche une page blanche (y compris dans le code source).

    Une piste quelqu’un ?

    Merci bcp !

    • Lapin Bleu

      L’installation manuelle voulais-je dire dans ma première ligne.
      Merci

      Du coup, j’hésite avant de recommencer sur d’autres Spip. :/

    Répondre à ce message

  • Yo,

    Rien n’à signaler pour ma part sur un hébergement free.fr

    Merci à Matsumaya !

    Répondre à ce message

  • Bonjour,

    J’ai donc fait une réinstallation, puis activé plugin par plugin. Voici ce que j’ai noté comme dysfonctionnements par rapport aux plugins (si ça peut vous servir... en retour, si vous trouvez une solution... pensez à moi : ?)

    • surtout pas spip PMB
    • pas spiPDF (qui déjà générait des erreurs)
    • problème plus embêtant pour moi sur forms and tables : il ne retrouve pas les anciens formulaires et affichent des erreurs de lecture sql (si je comprends bien)
    • Bandeau : m’affiche une double occurrence Insert-head
    • Accès restreint crée des erreurs (plein « d’insultes » informatiques que je ne comprends pas...)

    Voilà. Je n’ai pas tout testé, mais cela a mis la pagaille dans mon site, c’est certain : il faudra du temps avant qu’il s’en remette. D’un autre côté, c’est un site si discret que très peu viennent le voir !!! Ce qui m’embête plus, ce sont les misse à jour des sites « sérieux » que je vais avoir à faire...
    Dans l’attente de petits conseils...
    KMk.

    Répondre à ce message

  • KMK, regarde du côté de la casse, j’ai planté totalement le site pour des majuscules...

    Alain

    Répondre à ce message

  • Bonsoir,

    Je reviens sur mon post du 23 janvier : « erreur table SQL « SPIP_EVA_HABILLAGE_IMAGES » inconnue ». Le problème est résolu définivement :-) Il s’agissait d’un problème de majuscules dans le squelette alors que les tables avaient été forcées en minuscules par la 2.18... Celà a supposé de reprendre tous les html du squelette pour transposer en minuscules... et tout refonctionne à la perfection !
    Ceci dit, et dauf pour râler, tenez-vous en aux minuscules et oubkiez ces majusucles...
    Alain

    Répondre à ce message

  • 6

    Bonjour,

    Pour essayer de suivre la mise à jour, j’ai passé mon site qui était en 2.1.0 à la version 2.1.8.
    Pour le moment, je constate une erreur dans l’espace privé, à cette page /ecrire/?exec=admin_vider : double occurrence de INSERT_HEAD.

    Je vous en dirai plus après avoir testé les différentes fonctionnalités installées (plugins, etc...)

    Bonne continuation !
    KMk

    • Bonjour,

      J’ai bien fait la mise à jour, comme dit hier. Aujourd’hui, impossible de me connecter. Un ensemble de message d’erreur s’affiche :

      Notice: Undefined offset: 0 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 1 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 2 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 3 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 4 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 5 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 6 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 7 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 8 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 9 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 10 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 11 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 12 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 13 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 14 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 0 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 1 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 2 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 3 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 4 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 5 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 6 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 7 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 8 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 9 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 10 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 11 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 12 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 13 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined offset: 14 in [...]www/ecrire/auth/sha256.inc.php on line 207
      Notice: Undefined index: message_ok in [...]www/plugins/spip-pmb/formulaires/login.php on line 230
      Notice: Undefined index: vars in [...]www/ecrire/public/composer.php(49) : eval()'d code on line 83
      
      Notice: Undefined index: filtre_compacte_head in [...]www/ecrire/inc/filtres.php on line 43
      
      Notice: Undefined index: filtre_compacte_head_dist in [...]www/ecrire/inc/filtres.php on line 43
      Notice: Undefined index: compacte_head in [...]www/ecrire/inc/filtres.php on line 43

      Lorsque je clique sur la ligne :
      Vous êtes enregistré... par ici...

      J’obtiens ce message d’erreur :

      problème de cookie
      
      Pour vous identifier de façon sûre sur ce site, vous devez accepter les cookies.
      Veuillez régler votre navigateur pour qu'il les accepte (au moins pour ce site).

      Bon, là, je suis réellement embêtée... Quel problème y a-t-il sur cette ligne 207 ?
      Merci d’avance pour votre éclairage !
      KMk.

    • Euh... petite précision, j’ai fait un téléchargement par ftp de spip 2.1.8 sur spip 2.1.0, sans passer par le spip loader... pour écraser les anciens fichiers (sauvegardés au préalable).

      Cordialement,
      KMk.

    • ... et, autre précision, mon navigateur accepte les « petits gâteaux aux pépites de chocolat », dits autrement « cookies ».

    • La suppression du dossier sesssions dans tmp, puis la recréation, avec la mise en place de droits chmod 777 résout-elle le problème ?

    • Bonjour,

      Je viens d’effectuer les manipulations, mais le diagnostic est le même...

      Bigre !
      D’autres petites lueurs ?

      KMk.

    • Il faudrait désactiver les plugins un par un, en commençant par le plugin spip-pmb qui modifie le processus de connexion de spip et n’est peut être pas compatible avec spip 2.1.8 ?

      pour désactiver spip-pmb, il faut renommer le dossier plugin/spip-pmb

    Répondre à ce message

  • Bonjour,

    Actuellement j’utilise la version 1.9.2i, est ce que c’est nécessaire d’appliquer cette mise à jour ?
    Cordialement.

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom