Écran de sécurité - SPIP

/fr_article4200.html

  • Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.2.5 et SPIP 3.1.11

    Une faille CRITIQUE a été découverte récemment sous SPIP, permettant la modification arbitraire de contenus publiés, par les visiteurs non-identifiés.

    Elle touche TOUTES les branches SPIP 3.x (3.2, 3.1 et 3.0) et SPIP 2.1.
    Il est impératif de mettre à jour votre site SPIP dès que possible en version 3.2.5 ou 3.1.11.

    Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.12 bloque les exploitations possibles de la faille.
    https://www.spip.net/fr_article4200.html

    La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

    Ces nouvelles versions corrigent aussi d’autres problèmes de sécurité moins graves.
    L’équipe remercie Sylvain Lefevre pour l’identification et le signalement de la faille, ainsi que Youssouf Boulouiz et Gilles Vincent et Christophe Laffont pour leurs signalements.

    Annonce complète et détails
    https://blog.spip.net/836

    Télécharger #SPIP
    https://www.spip.net/fr_download

    -- L’équipe

    #release

  • 3,2,1... Partez ! Mise à jour de maintenance : Sortie de #SPIP 3.2.1, SPIP 3.1.8 et SPIP 3.0.27

    Quelques mois après la sortie de SPIP 3.2, il était temps de vous proposer des versions de maintenance de SPIP pour les branches 3.0, 3.1 et 3.2.
    Il est fortement recommandé d’installer ces versions car elles comprennent des mises à jour de sécurité.

    Ces nouvelles versions comprennent les correctifs de bugs identifiés ces derniers mois :

    – 2 tickets pour la branche 3.0
    – 12 tickets pour la branche 3.1
    – 19 tickets pour la branche 3.2

    Parmi les bugs corrigés, on notera :

    – correction d’une faille de sécurité sur la fonction valider_xml (merci à Sammy Forgit pour le signalement)
    – correction d’un bug sur les dates de publication
    – correction d’un bug d’installation des tables des plugins en ne permettant pas d’utiliser un préfixe de tables débutant par un numérique
    – quelques corrections d’ergonomie de l’espace privé (affichage du poids total en plus du nombre de documents dans les onglets de la médiathèque, etc.)
    – correction d’un bug sur les statistiques dans le calcul des referers
    – amélioration de la détection des robots afin de les exclure des statistiques de visites
    – correction d’un bug sur opcode
    – correction d’un bug SNI lors de l’utilisation derrière un proxy
    – ...

    L’écran de sécurité
    Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d’installer la version 1.3.6 de l’écran de sécurité qui corrige la faille du sécurité. Retour ligne automatique
    https://www.spip.net/fr_article4200.html

    Annonce complète et détails :
    https://blog.spip.net/812

    -- L’équipe

  • Mise à jour CRITIQUE de sécurité : Sortie de SPIP 3.1.6 et SPIP 3.2 Beta 3

    Une faille CRITIQUE a été découverte récemment sous #SPIP, permettant l’exécution de code arbitraire.

    Elle touche les versions SPIP 3.1.x et les versions SPIP 3.2 Alpha & beta, et impacte tous les sites utilisant ces versions.
    Les versions SPIP 3.0.x et antérieures ne sont pas concernées par ce problème.

    Il est impératif de mettre à jour votre site SPIP dès que possible.

    L’équipe remercie Emeric Boit et l’ANSSI pour l’identification et le signalement de la faille.

    Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.2 bloque les exploitations possibles de la faille.
    https://www.spip.net/fr_article4200.html

    La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.

    -- L’équipe

    Annonce complète et détails
    https://blog.spip.net/806

  • Suite au signalement d’une faille de sécurité dans le code de #SPIP, nous sortons une nouvelle version dans toutes les branches maintenues : SPIP 3.1.4, SPIP 3.0.25 et SPIP 2.1.30.

    Cette faille est critique et permet l’exécution arbitraire de PHP.

    Il est vivement conseillé de mettre à jour sa version de SPIP et de tous ses plugins, notamment si vous utilisez le plugin SPIPDF.

    Pour les personnes ne pouvant pas mettre à jour rapidement, il est nécessaire d’installer la version 1.3.0 de l’écran de sécurité qui corrige cette faille.
    http://www.spip.net/fr_article4200.html

    Merci à RealET et Yannick Siegler pour ce signalement.

    Annonce complète et détails
    https://blog.spip.net/798

    #release #securite

  • Plusieurs failles de sécurité ont été repérées dans les versions 1.9.2, 2.0 et 2.1 de SPIP.

    La faille concernant la version 1.9.2 est majeure (injection sql) et si vous avez une version 1.9.2 de SPIP, nous conseillons vivement de faire la mise à jour en 1.9.2.k.

    Concernant les versions 2.0 et 2.1, si l’impact sur un site est moins important (full path disclosure), nous conseillons toutefois de mettre à jour en 2.0.16 et 2.1.11.

    Dans tous les cas vous avez toujours la possibilité de protéger rapidement votre site (en attendant sa mise à jour complète) en téléchargeant la version 1.0.5 (26 juillet 2011) de l’écran de sécurité, et en la déposant dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html).

    N’hésitez pas à utiliser les différents moyens mis à disposition de la communauté (http://boussole.spip.org) pour obtenir de l’aide lors de cette mise à jour ; en particulier :

    liste spip-user http://listes.rezo.net/mailman/list...
    forum http://forum.spip.org
    IRC http://spip.net/irc

    Avertissement :

    Noter qu’à la sortie de la version 3.0, le support de la branche 1.9.2 sera définitivement abandonné.
    SPIP 1.9.2k, 2.0.16, 2.1.11 et 3.0.0-beta disponibles - SPIP-Contrib
    http://www.spip-contrib.net/SPIP-1-9-2k-2-0-16-2-1-11-et-3-0-0-beta-disponibles

  • Écran de sécurité - SPIP
    http://www.spip.net/fr_article4200.html

    De fait, cet écran peut être activé au niveau du serveur sur l’ensemble des scripts php (SPIP ou pas), et garantit, s’il est à jour, que toutes les failles connues de quelque version de SPIP que ce soit sont impossibles à exploiter. D’où son nom d’« écran » : il se place entre le visiteur et SPIP, et vérifie que le visiteur n’est pas en train d’essayer d’exploiter une attaque connue.

    C’était quasi évident mais ça m’avait complètement échappé. Pas encore un as du serveur non plus. Je vient de passer d’un système alambiqué de màj sur une vingtaine de sites à un simple « ssh/cd/sudo wget ». Trop cool.

    #spip #serveur #securite #genial #content #écran_de_sécurité