SPIP 1.9.2n, 2.0.17, 2.1.12 disponibles (correctifs de sécurité)

Publié le 17 novembre 2011 par Marie

Plusieurs failles de sécurité ont été repérées (Merci à High-Tech
Bridge SA Security Research Lab, Davy et Arnault) dans les
versions 1.9, 2.0 et 2.1 de SPIP.

Bonjour,
Plusieurs failles de sécurité ont été repérées (Merci à High-Tech
Bridge SA Security Research Lab, Davy et Arnault) dans les
versions 1.9, 2.0 et 2.1 de SPIP.
Nous rappelons à toutes et tous que le meilleur moyen pour signaler
des failles, ou des suspicions de failles, est d'envoyer un email
à spip-team@rezo.net.
Deux des failles concernent les versions 2.0 et 2.1.
La plus sévère ouvre la possibilité pour un membre non autorisé
de se déclarer administrateur.
Les deux autres concernent l'affichage de "full path disclosure" et une
possibilité d'injection XSS.
La mise à jour du célèbre écran de sécurité ne protège pas des trois
failles précitées : il n'a pas été possible de faire un code léger qui
comblerait ces trois problèmes. Néanmoins, vous êtes encouragé à
télécharger sa version la plus récente (1.0.6 du 05 novembre 2011)
et la déposer dans votre répertoire config/
(cf. http://www.spip.net/fr_article4200.html).
Pour la version 1.9 la mise à jour de l'écran est suffisante si vous
ne souhaitez pas passer en version 1.9.2n.
Pour les versions 2.0 et 2.1, nous vous recommandons de mettre à
jour SPIP, car l'écran ne corrige pas les failles qui concernent
spécifiquement ces versions.
En clair, nous vous recommandons fortement de mettre à jour.
N'hésitez pas à utiliser les différents moyens mis à disposition par la
communauté pour obtenir de l'aide lors de cette mise à jour :
- Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- Forum : http://forum.spip.org/
- IRC : http://spip.net/irc
Comment mettre à jour ?
-----------------------
1. par spip_loader.php :
si vous avez déjà installé spip_loader, rendez-vous à l'adresse
http://VOTRE_SITE/spip_loader.php pour installer SPIP 2.1.12
2. par copie des fichiers :
SPIP 2.1.12 est disponible à l'adresse
http://files.spip.org/spip/stable/spip.zip
3. par SVN ;
si vous êtes dans la branche 2.1 faites simplement un "svn up"
svn://trac.rezo.net/spip/branches/spip-2.1
la version 2.1.12 est aussi disponible sous la branche :
svn://trac.rezo.net/spip/branches/spip-2-stable/
et sous le tag
svn://trac.rezo.net/spip/tags/spip-2.1.12/
Les versions 2.0.17 et 1.9.2.n sont téléchargeables ici :
http://files.spip.org/spip/archives/
Post Scriptum :
-----------------------
Comment être tenu au courant de ces annonces ? Le plus simplement du monde en
s'inscrivant sur la mailing liste
http://listes.rezo.net/mailman/listinfo/spip-ann .
Bien sûr les réseaux sociaux ne sont pas en reste :
- @spipeau : http://twitter.com/spipeau
- Facebook : http://www.facebook.com/pages/SPIP/174695777822
- Seenthis : http://seenthis.net/people/spip

Proposé par RealET