HOME > RSS > BLOGS France > Spip.Blog

R S S : Spip.Blog


PageRank : 1 %

VoteRank :
(0 - 0 vote)





tagsTags: , , , , , , , ,


Français - French

RSS FEED READER



Nouvelle alerte de sécurité : sortie de SPIP 3.1.3 et SPIP 3.0.24

October 2016, by La team[ —]

Suite au signalement d'une faille de sécurité dans le code de SPIP, nous publions deux nouvelles versions : SPIP 3.1.3 et SPIP 3.0.24.

La faille pourrait être exploitée par des personnes ayant accès à l'espace privé.
Il est vivement conseillé de mettre à jour sa version.

Merci à Nicolas Châtelain (Sysdream) pour ce signalement.

Les mises à jour suivantes sont disponibles :

Version 3.1.3
http://files.spip.net/spip/archives/SPIP-v3.1.3.zip

Version 3.0.24
http://files.spip.net/spip/archives/SPIP-v3.0.24.zip

A propos de la branche 2.1
Nous sortirons prochainement de nouvelles versions dans la branche SPIP 2.1.
En attendant, il est donc conseillé de mettre à jour son écran de sécurité.

Attention :
Pour les personnes utilisant la constante de debug : _DEBUG_SLOW_QUERIES
Une coquille s'est glissée dans le code de SPIP 3.1.3 et SPIP 3.0.24.
Pensez à désactiver cette constante, le temps que l'on corrige et sorte une nouvelle version.

L'écran de sécurité

Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d'installer la version 1.2.7 de l'écran de sécurité qui corrige cette faille critique.
http://www.spip.net/fr_article4200.html

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.9) qui installe SPIP 3.1 par défaut.
http://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé du suivi des versions de SPIP

BrancheVersionSuivi
SPIP 3.1 SPIP 3.1.3 Branche stable
SPIP 3.0 SPIP 3.0.24 Branche maintenue
SPIP 2.1 SPIP 2.1.29 Branche maintenue (mise à jour de sécurité uniquement)

Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter un piratage

Comment être tenu au courant de ces annonces ?

C'est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d'aide ?

En cas de problème ou de difficultés, allez sur http://forum.spip.net

Nous vous rappelons que pour signaler une faille, il suffit d'envoyer un mail à spip-team@rezo.net


C'est la rentrée pour SPIP : SPIP 3.1.2 et SPIP 3.0.23 sont disponibles

September 2016, by La team[ —]

Mettez à jour votre SPIP pour avoir un site plus sûr, plus efficace.

Récemment des experts en sécurité se sont penchés sur le code SPIP et nous ont signalés quelques problèmes.

Il s'agit principalement de failles de type XSS, qui ne constituent pas des failles critiques, mais il est recommandé de mettre à jour votre SPIP.
Ces nouvelles versions intègrent les correctifs nécessaires.

Pour information, l'écran de sécurité ne protège pas des failles XSS découvertes.
Seule la mise à jour de SPIP vous garantit d'avoir un site sécurisé.

Nous remercions Tim Coen (Curesec), Christophe Imberti et Philippe Brehmer pour ces signalements.

Ces nouvelles versions comprennent aussi des correctifs de bugs identifiés ces derniers mois :

  • correction d'un bug sur la fonction recuperer_page()
  • amélioration de la gestion du multilinguisme dans l'espace privé
  • correction d'un bug sur les statistiques journalier d'un article donné
  • correction d'un bug dans les messages de retour du gestionnaire de plugin
  • amélioration de la prise en charge des caractères spéciaux dans les URLs propres
  • correction d'un bug dans la gestion des liens de traductions lors de l'utilisation du multilinguisme par secteur
  • correction de plusieurs bugs lors de l'édition de texte en mode plein écran
  • correction d'un bug qui empêchait de déplacer une rubrique à la racine depuis le bloc fil d'ariane
  • correction d'un bug qui n'affichait pas le bon nom d'expéditeur dans le système de messagerie interne
  • amélioration de la détection des documents insérés dans le texte si l'appel contient une majuscule
  • rétablissement de la fenêtre de confirmation lors de la demande de suppression d'un plugin
  • correction d'un bug lors d'un double clic sur le bouton de prévisualisation des forums
  • correction d'un bug qui empêchait la récupération des informations de mises à jour de SPIP
  • amélioration du comportement du critère branche utilisé de manière optionnelle
  • correction d'un bug dans la gestion du cache compressé
  • correction d'un bug d'affichage des documents joints dans le squelettes par défaut lors de l'utilisation des URLs arborescentes
  • mise à jour de la librairie GetId3

Consulter l'ensemble des corrections apportées

Les mises à jour suivantes sont disponibles

Version 3.1.2
http://files.spip.net/spip/archives/SPIP-v3.1.2.zip

Version 3.0.23
http://files.spip.net/spip/archives/SPIP-v3.0.23.zip

À propos de la branche 2.1
Nous ne sortons pas de nouvelle version dans la branche SPIP 2.1.

Pour les sites SPIP où l'inscription des rédacteurs est ouverte, merci aussi de lire l'article
https://blog.spip.net/Inscription-malicieuse-de-faux-redacteurs.html
Nous travaillons toujours sur un correctif pour ce problème

Mettre à jour en utilisant le spip_loader
Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.9) qui installe SPIP 3.1 par défaut
http://www.spip.net/spip-dev/INSTALL/spip_loader.php

Résumé du suivi des versions de SPIP

BrancheVersionSuivi
SPIP 3.1 SPIP 3.1.2 Branche stable
SPIP 3.0 SPIP 3.0.23 Branche maintenue
SPIP 2.1 SPIP 2.1.29 Branche maintenue (mise à jour de sécurité uniquement)

Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter un piratage

Comment être tenu au courant de ces annonces ?

C'est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann .

Bien sûr les réseaux sociaux sont de la partie :

Une question, besoin d'aide ?

En cas de problème ou de difficultés, allez sur http://forum.spip.net

Nous vous rappelons que pour signaler une faille, il suffit d'envoyer un mail à spip-team@rezo.net


Inscription malicieuse de faux rédacteurs

August 2016, by La team[ —]

Alerte si vous utilisez un site SPIP dont les inscriptions rédacteurs sont ouvertes.

Depuis quelques jours, un robot inscrit en masse des rédacteurs sur les sites SPIP où l'inscription est ouverte.
Le but de la manœuvre est d'y déposer des fichiers HTML pour référencer des sites douteux.

Après inscription du nouveau rédacteur, le robot utilise ce faux compte pour uploader des fichiers HTML.

Pour les personnes qui gèrent un site SPIP avec l'inscription rédacteur ouverte, nous vous conseillons donc :

  • de vérifier si aucun rédacteur suspect n'a été inscrit récemment
  • de vérifier si aucun fichier louche n'a été uploadé dans le répertoire /IMG/html/

Comment se protéger ?

Nous vous conseillons d'installer le plugin Notification qui propose une option pour être prévenu par mail lors des nouvelles inscriptions. Cela permettra aux responsables du site de filtrer les inscriptions douteuses

Notifications

Le plugin notifications sait envoyer des mails quand les gens s'expriment dans le forum de l'espace privé, sous un article, ou dans la messagerie personnelle...

Il permet également de notifier le ou les auteurs d'un article lors de la publication de ce dernier.





Si vous ne pouvez pas installer le plugin Notifications, vous pouvez simplement suspendre provisoirement les inscriptions rédacteurs.


Menu configuration > interactivité

Nous préparons une protection qui sera intégrée aux futures versions de SPIP qui permettra de modérer les inscriptions et éviter ces désagréments.
Suivi de la demande sur https://core.spip.net/issues/3820











mirPod.com is the best way to tune in to the Web.

Search, discover, enjoy, news, english podcast, radios, webtv, videos. You can find content from the World & USA & UK. Make your own content and share it with your friends.


HOME add podcastADD PODCAST FORUM By Jordi Mir & mirPod since April 2005....
ABOUT US SUPPORT MIRPOD TERMS OF USE BLOG OnlyFamousPeople MIRTWITTER