Le kit pour créer les sites internet des laboratoires du CNRS


Accueil > À noter

13/03/2014 Alerte sécurité et nouvelles versions SPIP 2.0.25, 2.1.26 et 3.0.16

par Equipe web, pverrier - publié le , mis à jour le

En bref

Trois mises à jour de SPIP ont été publiées le 13 mars : SPIP 2.0.25 / SPIP 2.1.26 / SPIP 3.0.16. Elles corrigent des failles de sécurité.
Si vous ne pouvez pas mettre rapidement votre SPIP à jour, il est urgent de mettre en place la dernière version de l’écran de sécurité (version 1.1.9 du 13/03/2014).

Contenu de l’annonce SPIP

Ces versions corrigent les failles suivantes :
- SPIP 2.0 / SPIP 2.1 / SPIP 3.0 : une injection SQL (mineure car déjà protégée par l’écran de sécurité) mais corrigée néanmoins .
- SPIP 3.0 : une faille de sécurité permettant un injection JS dans le privé (non prise en charge par l’écran de sécurité). Donc si vous acceptez l’inscription d’internautes comme rédacteurs dans l’espace privé, mettez en priorité à jour le plugin textwheel http://plugins.spip.net/tw.html
- SPIP 2.0 / SPIP 2.1 / SPIP 3.0 : des messages de log qui montrent un tentative infructueuse d’injection (explications technique ici : http://core.spip.org/issues/3186 ).

Pour résumer : mettez à jour votre SPIP. Si toutefois vous ne pouvez pas, mettez à jour l’écran de sécurité (cf. http://www.spip.net/fr_article4200.html ) et le plugin textweel

Merci à Philippe, Michael et Christian de l’équipe Sécurité de PwC France, à Ybbet et aux utilisateurs de la liste spip-user.

Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles est d’envoyer un email à spip-team chez rezo.net.

Bien sur ces versions ne comportent pas que des corrections de failles et apportent aussi leur petit lots de modifications :

- Changements entre 2.0.24 et 2.0.25 : http://www.spip.net/fr_article5689.html
- Changements entre 2.1.25 et 2.1.26 : http://www.spip.net/fr_article5688.html
- Changements entre 3.0.15 et 3.0.16 : http://www.spip.net/fr_article5687.html

N’hésitez pas à parcourir ces pages pour y découvrir ce qui a changé.

Si vous constatez des problèmes, pensez à les communiquer en rédigeant un "ticket" sur http://core.spip.org !

Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles est d’envoyer un email à spip-team chez rezo.net .

Si le cœur vous en dit, vous pouvez dès à présent commencer à tester (sur un site de développement) cette nouvelle version 3.1 : http://files.spip.org/spip/dev/SPIP-svn.zip

Bon SPIP !

L’équipe SPIP

Mise à jour
===========
** RAPPEL : si vous utilisez le plugin YAML et que vous metttez à jour depuis une version antérieure à SPIP 3.0.11, il faut mettre à jour le plugin avant de mettre SPIP à jour.

** N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour :
- Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip
- Forum : http://forum.spip.net
- IRC : http://irc.spip.net

** Comment mettre à jour vers SPIP 3.0.16

1. par spip_loader.php : mettez à jour (ou installez) spip_loader, puis rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP.
Attention, lisez bien les instructions de http://www.spip.net/fr_download#spip_loader pour ne pas être surpris•e par un passage non voulu de SPIP 2 à SPIP 3 !

2. par copie des fichiers :
- SPIP 3.0.16 est disponible à l’adresse http://files.spip.org/spip/stable/spip-3.0.zip

3. par SVN :
- si vous êtes dans la branche 3.0 : svn up svn ://trac.rezo.net/spip/branches/spip-3.0
La version 3.0.16 est aussi disponible sous la branche svn ://trac.rezo.net/spip/branches/spip-3-stable et sous le tag svn ://trac.rezo.net/spip/tags/spip-3.0.16

** Comment mettre à jour vers SPIP 2.1.26
- SPIP 2.1.26 est disponible à l’adresse http://files.spip.org/spip/stable/spip-2.1.zip
- La version 2.1.26 est aussi disponible sous la branche svn ://trac.rezo.net/spip/branches/spip-2-stable et sous le tag svn ://trac.rezo.net/spip/tags/spip-2.1.26

** Comment mettre à jour vers SPIP 2.0.25
- SPIP 2.0.25 est disponible à l’adresse http://files.spip.org/spip/archives/SPIP-v2-0-25.zip

** Comment être tenu•e au courant de ces annonces ?

Le plus simplement du monde en s’inscrivant sur la mailing liste
http://listes.rezo.net/mailman/listinfo/spip-ann .

Et puisqu’il le faut bien, les dits réseaux sociaux ne sont pas en reste
(choisissez celui qui vous convient mais il est vrai qu’ils ne sont pas très actifs ;) :
- Twitter : http://twitter.com/spip
- Facebook : http://www.facebook.com/spip.net
- Google+ : http://bit.ly/1ieO2h3

Et n’oubliez pas de bookmarker / suivre celui ci :
- Seenthis : http://seenthis.net/tag/spip