SPIP-Contrib

SPIP-Contrib

عربي | Deutsch | English | Español | français | italiano | Nederlands

288 Plugins, 197 contribs On SPIP-Zone, 217 visitors now

Home > SPIP’s Life & culture > SPIP-core > SPIP Security Alert + new version SPIP 2.0.9

SPIP Security Alert + new version SPIP 2.0.9

6 August 2009 – by SPIP-Contrib’s Team

All the versions of this article: [عربي] [English] [français] [italiano]

37 Votes

(from an alert posted on “spip-ann” mailing list)

Hello,

A big security issue has just been discovered : this issue affects all SPIP versions from 2.0.x to 2.0.8, the branch 1.9 is also affected. This breach lets a hacker with no password at all, to take control on the SPIP website and on the web server.

This alert is to be taken seriously, as it has not been discovered by someone “nice” but by a real “naughty one” who took control on an existing website in order to insert malwares on it.

Corrections :

We publish today 2 new maintenance versions for SPIP, which fix this issue :

  • SPIP 2.0.9, latest official and stable version, which offers the fix and a list of improvments listed below.
  • SPIP 1.9.2i, maintenance version for the branch 1.9.2

Download them at : http://files.spip.org/spip/stable/

or, if you wish to use spip_loader : http://xxx.example.tld/spip_loader.php

For security specialists, the lone security patch, which corrects nothing else but the issue and does not bring any other improvment, can be found at :
http://fil.rezo.net/secu-14346-14350+14354.patch
Check revisions [14347] [14348] [14349] [14350] and [14354].

For the branch 1.9.2x patch is available there :
http://trac.rezo.net/trac/spip/changeset/14354/branches/spip-1.9.2

Security Screen :

If you have no way to upgrade completely at once, we suggest you to fix the breach as soon as possible by installing on your SPIP website the “security screen”. You can discover this at :
http://www.spip.net/fr_article4200.html (Fr.)

This “screen” lets you block certain attacks without the need of upgrading SPIP.

Credits :

This issue was found and analysed by Thomas Sutton et Pierre Rousset.

We also feel free to remind you that, the best way to let us know about a security issue with SPIP is to send a mail at spip-team [AT] rezo.net

updated on 6 August 2009

Back to top

Comment on this article

Who are you?
  • [Log in]

To show your avatar with your message, register it first on gravatar.com (free et painless) and don’t forget to indicate your Email addresse here.

Enter your comment here Les choses à faire avant de poser une question (Prolégomènes aux rapports de bugs. )
Add a document

Back to top

Here they're talking

  • (fr) Refonte de l’identité graphique

    10 juillet – 32 commentaires

    Lors de la SPIP Party 2017 à Toulouse, un nouveau contributeur est venu nous présenter son travail sur une refonte du logo. Au delà de la refonte du logo, c’est une toute nouvelle identité graphique pour SPIP que Jordan nous propose. Voici une (...)

  • (fr) Agenda Fullcalendar facile

    29 octobre 2016 – 34 commentaires

    Dans un précédent article, nous expliquions comment afficher un agenda Fullcalendar sur son site avec le plugin agenda. Cependant, ceci nécessite des manipulation de squelettes, ce qui n’est pas toujours évident lorsqu’on débute. La présente (...)

  • (fr) La Fabrique

    20 avril 2012 – 315 commentaires

    La Fabrique est un outil pour webmestres ou développeurs qui souhaitent créer des plugins. La Fabrique est capable de générer le code source minimal d’un plugin pour SPIP 3 (elle accélère donc le démarrage d’un plugin) et peut s’occuper également de (...)

  • (fr) Formulaire upload

    25 septembre 2012 – 34 commentaires

    Ce plugin permet d’uploader des documents depuis l’espace public Objectifs Ce plugin permet d’ajouter un formulaire dans l’espace public pour uploader et gérer des fichiers. A priori, il peut se greffer sur tous types objets SPIP : articles, (...)

  • (fr) Publier archivelist.txt via svn/terminal

    10 août 2009 – 11 commentaires

    Objectif : mettre à jour l’index archivelist.txt Environnement : commandes svn via terminal Si vous désirez voir publié dans la zone la version paquet de votre contribution, il faut ajouter la ligne nécessaire dans le fichier archivelist.txt. (...)

There they're spiping