SPIP 3.0.21, mise à jour de sécurité

Trois personnes nous ont signalé des failles de type XSS dans SPIP. Elles concernent les sites dont l’inscription est ouverte. Des rédacteurs malveillant pourraient alors en profiter.

Nous sortons donc SPIP 3.0.21 qui corrige ces failles et inclut les correctifs habituels.

Merci à Sébastien Barré, Abdelkrim Kechbit et Fabien Abbadie pour les signalements de ces failles. Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net.

Cerise sur le potiron, nous en profitons pour lancer SPIP 3.1 Release Candidate. En effet, la version SPIP 3.1 est quasiment prête et déjà utilisée par certaines personnes en production sans problème (merci à elles pour leurs nombreux retours). N’hésitez donc pas, si cela vous tente à passer en 3.1, toute régression (s’il y en a) sera rapidement corrigée !

Merci de nous faire parvenir vos derniers retours avant son lancement officiel (via https://core.spip.net/projects/spip/issues/)

SPIP 3.0.21


-  Correction de 2 failles XSS
-  Pouvoir renseigner la date de rédaction antérieure dès la création
-  Correction d’un bug sur les droits des auteur⋅e⋅s sur les documents
-  De nombreux bugs ont été corrigés (voir le détail plus bas)

Télécharger SPIP 3.0.21 :
http://files.spip.net/spip/stable/spip-3.0.zip

SPIP 3.1 Release Candidate


-  Correction de 2 failles XSS
-  Plugin plan ajouté aux plugins-dist
-  Peaufinage du thème de l’interface privé
-  de nombreuses régressions ont été identifiées et corrigées

Télécharger SPIP 3.1 RC :
http://files.spip.net/spip/archives/SPIP-vtrois.1.0-rc.zip

Correction de bugs

Quelques bugs corrigés en 3.0 et/ou 3.1, cf https://core.spip.net/projects/spip/issues?query_id=14

  • correction d’un problème avec les mots de passe contenants un espace sous PostgreSQL (3.1)
  • utilisation d’un fichier spécifique pour les logs des autorisations (3.1)
  • correction d’un bug empêchant de passer la valeur 0 dans un champ de formulaire obligatoire (3.0 + 3.1)
  • correction d’un bug dans la purge des sauvegardes automatiques de saisies des formulaires (3.0 + 3.1)
  • correction d’un bug sur la date de modification d’un fil de forum lorsque la modération a priori est active (3.0 + 3.1)
  • correction d’un bug sur le filtre |liens_absolus et les attributs data-src (3.0 + 3.1)
  • correction d’un bug lors de l’utilisation de SPIP derrière Varnish (3.1)
  • amélioration de l’ergonomie du gestionnaire de plugins : quand on active un plugin depuis la page des plugins inactifs on est bien redirigé vers la page des plugins actifs (3.1)
  • correction d’un bug qui générait des erreurs sql dans les logs lors de l’installation (3.1)
  • amélioration du formulaire de modification de date afin qu’il fonctionne sans javascript (3.1)
  • nouvelle couleur par défaut dans l’espace privé (3.1)
  • amélioration du contenu du pipeline post_edition lors de la suppression d’un document (3.1)
  • correction d’un bug lors de l’utilisation des champs dans des boucles (3.1)
  • correction d’un bug sur le filtre |extraire_attribut appliqué aux attributs du type sur xxx-yyy (3.1)
  • correction d’un bug empêchant de prévisualiser un article post-daté (3.1)
  • correction d’un bug avec les hébergeurs qui restreignent l’utilisation de certaines fonctions PHP (ini_set et php_uname) (3.1)
  • correction d’une régression qui empêchait de de définir le jeu de caractères (charset) d’une connexion SQL externe (3.1)
  • correction d’un bug sur les jointures SQL automatiques lors de l’utilisation de la balise #TRI (3.1)
  • correction d’un bug dans le formulaire de redirection d’article (3.1)
  • correction d’un bug qui générait une erreur lors de l’utilisation de l’API SQL dans un formulaire CVT si l’utilisateur n’est pas connecté (3.1)
  • correction d’un bug qui empêchait l’affichage de la barre des raccourcis lors de l’édition en plein écran (3.1)
  • correction d’un bug graphique dans le formulaire de configuration de la boite multimédia (mediabox) (3.1)
  • simplification du message explicatif dans le formulaire de forum lorsque toutes les extensions de ficheirs sont autorisées (3.1)
  • correction d’un bug qui affichait un message d’erreur inadapté lors du référencement automatique d’un site syndiqué (3.1)
  • amélioration de la compatibilité ascendante pour le pipeline jqueryui_plugins (3.1)
  • amélioration des squelettes par défaut pour prise en charge des #LOGO_xxx{left} ou #LOGO_xxx{right}(3.1)
  • correction d’un bug graphique sur le formulaire permettant d’éditer l’url d’un objet (3.1)
  • correction d’un bug sur l’invalidation du find_in_path qui détériorait la performance (3.0 + 3.1)
  • correction d’un bug de dépendance lors de la première installation d’un plugin qui nécessitant un plugin du core (3.0 + 3.1)
  • correction d’un bug d’affichage de la prévisualisation des messages de forum dans l’espace privé (3.1)

Comment mettre à jour ?

N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :

1. par spip_loader.php (dernière version 2.5.5)

si vous avez déjà installé spip_loader,
rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP.

Attention cependant : lisez bien les instructions sur
http://www.spip.net/fr_download#spip_loader pour ne pas être
surpris par un passage non voulu de SPIP 2 à SPIP 3.

Tout savoir sur spip_loader :
http://www.spip.net/fr_article5705.html

2. par copie des fichiers

SPIP 3.0.21 est disponible à l’adresse http://files.spip.net/spip/stable/spip-3.0.zip

3.0 par SVN

Si vous êtes dans la branche 3.0 (svn ://trac.rezo.net/spip/branches/spip-3.0) faites simplement un
svn up

3.1 par SVN

Pour faire un test de la version 3.1
Vous pouvez également l’installer par SVN avec la commande :
svn co svn://trac.rezo.net/spip/spip

3.1 par spip_loader

En remplaçant
http://zone.spip.org/trac/spip-zone/browser/_outils_/spip_loader/trunk/spip_loader.php#L31
par :
define('_CHEMIN_FICHIER_ZIP', 'spip/dev/SPIP-svn.zip');

Comment être tenu au courant de ces annonces ?

Le plus simplement du monde en s’inscrivant sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux ne sont pas en reste :

Discussion

5 discussions

  • 1

    soit un spip local et un spip d’exploitation de même version

    en spip 3.0.20

    récupération de la sauvegarde locale et import dans le SPIP d’exploitation (Mysql) = pas de problème

    passage en spip 3.21 = pas de problème
    1) récupération de la sauvegarde locale et import dans le SPIP d’exploitation (Mysql) = alerte table spip meta absente alors qu’elle est bien visible et création d’un administrateur N°-1 identique à l’administrateur d’origine

    2) Effacement total de la base (phpmyadmin), réinstallation de spip, puis réimport = même problème

    3) Tentative d’effacement de l’admin, -1, trois réactions en fonction du site (trois sites testés)
    -  pas de possibilité de "poubelliser"
    -  message style « attention vous êtes connecté sous cet identifiant »
    -  suppression possible mais message de type « impossible de modifier, ce login existe déjà »

    4) import de la base à partir d’une vraie sauvegarde (phpmyadmin) = pas de problème

    • Nouvelle mise à jour des sites à partir d’un dump à nouveau le problème

      alerte table spip meta absente alors qu’elle est bien visible et création d’un administrateur N°-1 identique à l’administrateur d’origine alors qu’il n’y est pas dans le dump.
      N’y aurait-il pas un problème avec le choix imposé de faire des dump SQLite sur des bases mysql ?

    Répondre à ce message

  • 1

    Merci pour cette sortie.
    Tout fonctionnement parfaitement après la mise à jour.

    Répondre à ce message

  • Bonjour,

    Est-il possible, s’il vous plaît, d’obtenir la liste des fichiers impactés par les mises à jour comme sur ce lien ?
    http://www.spip.net/fr_article5737.html

    Merci.

    Répondre à ce message

  • newsoftpclab

    C’est curieux que des éditeurs de site web soient ainsi attaqués.Est-ce pour que les utilisateurs ne se sentent pas en securite ?

    Répondre à ce message

  • 3

    Impossible de télécharger le fichier zip, tant pour la version 3.1 que pour la version 3.0.21. Mon téléchargement est bloqué.

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom