Alors que nous travaillions à la version 1.9.3 de SPIP qui sortira bientôt (dès qu’elle sera prête), nous avons trouvé une faille de sécurité affectant les versions antérieures de SPIP.
Ceci nous conduit à sortir immédiatement une version 1.9.2c corrigeant cette erreur et quelques autres de moindre gravité.
Cette version de maintenance est maintenant disponible à l’adresse habituelle : http://www.spip.net/fr_download.
Corrections :
Restauration : reprise sur timeout et déconnexion
Messagerie interne : envoi du mail de suivi des discussions
Date de rédaction antérieure : contournement d’un bug IE empêchant la
modification
menu des rubriques (gadget tout le site) : arborescence incomplète
dans certains cas
fiche auteur : bug en modification de l’url du site
filtres images : bug sur aplatissement en gif
barre typographique : bug d’affichage
#URL_LOGOUT : suppression des & et redirection vers la page en
cours (self) par défaut
#LOGIN_PUBLIC : accepte les visiteurs
Améliorations :
support JQuery 1.1.4 (la version intégrée restant la 1.1.1 + quelques
correctifs)
Fonction image_aplatir : prend un 3eme parametre ’qualite’ (85 par
défaut pour les jpg, nombre de couleurs de la palette pour gif et png)
Mot de passe : Peut contenir des ’ et des \
articles_tous et brouteur : optimisation des requêtes (surcharge MySQL
pour les gros sites)
Ajout des extensions csv, mkv, mka, kml et kmz
La version stable de Spip est donc à ce jour la 1.9.2c et il est fortement recommandé de mettre à jour tous les sites en production de version antérieure.
Si vous êtes encore en 1.8.x, une version de maintenance est disponible ici : http://www.spip.net/spip-dev/DISTRI...
Si vous travaillez sur la version de développement (1.9.3 dev) de SPIP, cette annonce ne vous concerne évidement pas, mais il vous devez être en révision 10221 ou supérieur pour profiter du correctif.
L’équipe SPIP.
Liste des fichiers modifiés :
/dist/backend.html
/dist/backend-breves.html
/dist/forum.html
/dist/style_prive_defaut.html
/dist/javascript/layer.js
/dist/vignettes/mkv.png
/dist/vignettes/mka.png
/dist/vignettes/kml.png
/dist/vignettes/kmz.png
/ecrire/inc_version.php
/ecrire/action/editer_auteur.php
/ecrire/action/editer_site.php
/ecrire/action/poster_forum_prive.php
/ecrire/balise/login_public.php
/ecrire/balise/url_logout.php
/ecrire/base/typedoc.php
/ecrire/base/upgrade.php
/ecrire/exec/articles_tous.php
/ecrire/exec/brouteur_frame.php
/ecrire/exec/menu_rubriques.php
/ecrire/inc/auth.php
/ecrire/inc/barre.php
/ecrire/inc/dater.php
/ecrire/inc/filtres.php
/ecrire/inc/filtres_images.php
/ecrire/inc/import.php
/ecrire/inc/modifier.php
/ecrire/inc/presentation.php
/ecrire/inc/selectionner_auteur.php
/ecrire/inc/texte.php
/ecrire/install/etape_4.php
/ecrire/public/composer.php
Liste des fichiers modifiés entre la 1.8.3 et la 1.8.3a :
/inc-calcul-outil.php3
/ecrire/inc-version.php3
Messages
1. SPIP 1.9.2c, 8 octobre 2007, 12:05, par mp
Bonjour la liste
Je viens de voir cette annonce !! et ... j ai un gros doute (tres serieux) sur une attaque de mon serveur depuis la mise en production de mon serveur spip 1.9.2b au 15 septembre 2007
quelle est la teneur de ce trou de securité, quels details etc... peut etre que c’est là l origine de mon attaque ? le site officiel spip n’est pas tres bavard
quelqu un peut il m aider ? me renseigner ?
d autre part, je viens de voir cette annonce ... heureusement ... j espere pas trop tard !!!!!
y aurait il moyen, via une mailing list de connaitre les nouvelles versions importantes a mettre à jour ?
car depuis que je suis sur les listes rezo, il y a beaucoup d echanges sur plein de choses,( ce qui aide beaucoup, et que j apprecie, tout particulierement cette aide communautaire, et tres active !!! :) car je suis nouvelle sur spip ) sur du developpement de 1.9.3 et j avoue etre passée au travers de cette info ultra importante de correction de securité
merci pour les conseils
mp
2. SPIP 1.9.2c, 12 octobre 2007, 17:54, par Mitch
Plus exactement, il me semble que c’est le fichier
/dist/style_prive_defaut.css
qui a été modifié plutôt que le
/dist/style_prive_defaut.html (qui d’ailleurs n’existe pas)