Alerte sécurité et nouvelle version pour SPIP

Publié le 07 août 2009 par Marie

Un grave problème de sécurité vient de nous être signalé ; ce problème affecte toutes les versions de SPIP 2.0.x jusqu'à SPIP 2.0.8, ainsi que la branche 1.9. Il permet à un attaquant ne disposant d'aucun mot de passe de prendre le contrôle de votre site SPIP et de votre serveur web.

L'alerte est d'autant plus sérieuse que le "trou" n'a pas cette fois été découvert par un "gentil", mais par un véritable "méchant" qui a pris le contrôle d'un site existant pour y insérer des malwares. L'attaque a été détectée et analysée par Thomas Sutton et Pierre Rousset.
(L'équipe SPIP rappelle que le meilleur moyen pour leur signaler un problème de sécurité est d'envoyer un mail à la liste spip-team@rezo.net)

Correctifs :

L'équipe SPIP à donc aujourd'hui deux versions de maintenance de SPIP, qui corrigent ce bug :

  • SPIP 2.0.9, dernière version stable et officielle, qui contient, outre la correction de ce problème de sécurité, quelques améliorations, listées ci-dessous.
  • SPIP 1.9.2i, version de maintenance de la branche 1.9.2

à télécharger sur :
=> http://files.spip.org/spip/stable/ (ou, si vous utilisez spip_loader, en vous rendant à l'adresse http://xxx.example.tld/spip_loader.php)

Pour les spécialistes, le patch de sécurité stricto sensu pour la branche 2.0.x, qui ne corrige aucun autre bug et n'apporte aucune autre fonctionnalité, peut se trouver ici : http://fil.rezo.net/secu-14346-14350+14354.patch (Il s'agit des révisions [14347] [14348] [14349] [14350] et [14354]). Pour la branche 1.9.2x le patch est ici : http://trac.rezo.net/trac/spip/changeset/14354/branches/spip-1.9.2

Écran de sécurité :

Si vous n'avez pas la possibilité de procéder à la mise à jour complète tout de suite, l'équipe SPIP vous invite à colmater sans attendre le problème en installant sur votre site l'« écran de sécurité », que vous pouvez découvrir à l'adresse : http://www.spip.net/fr_article4200.html. Cet écran permet de bloquer une éventuelle attaque sans pour autant devoir mettre à jour les fichiers de SPIP.

Quelques modifications notables entre 2.0.8 et 2.0.9 :

  • Intégration de l'écran de sécurité si présent dans config/.
  • regexp plus strictes dans inc/syndic.php (évite un warning).
  • Le formulaire de login peut rediriger vers la page de l'auteur connecté.
  • Affichage des révisions des champs extras2 et des mots-clés.
  • #FORMULAIRE_ECRIRE_AUTEUR : quand le mail ne part pas, le signaler.
  • Filtres explode et implode.
  • Ne plus changer l'id_auteur des forums quand on les édite.
  • Bug #1757 : quand on renseigne automatiquement un site.
  • Amélioration #1770 : ne pas vider les stats quand on importe un dump.
  • Bug #1777 : ne pas publier une rubrique dont l'article est postdaté.
  • Corriger l'ordre des éléments dans les flux RSS des forums.
  • Afficher en clair les liens dans les forums a modérer.
  • Caractères supplémentaires en arabe.
  • Certains plugins refusaient de s'activer sur certains site.