[Spip-Ann]Alerte sécurité SPIP + nouvelle version SPIP 2.0.9

From : fil@... , the 6th août 2009 12:06

Bonjour, un grave problème de sécurité vient de nous être signalé ; ce problème affecte toutes les versions de SPIP 2.0.x jusqu'à SPIP 2.0.8, ainsi que la branche 1.9. Il permet à un attaquant ne disposant d'aucun mot de passe de prendre le contrôle de votre site SPIP et de votre serveur web. L'alerte est d'autant plus sérieuse que le "trou" n'a pas cette fois été découvert par un "gentil", mais par un véritable "méchant" qui a pris le contrôle d'un site existant pour y insérer des malware. Correctifs : ------------ Nous publions donc aujourd'hui deux versions de maintenance de SPIP, qui corrigent ce bug : - SPIP 2.0.9, dernière version stable et officielle, qui contient, outre la correction de ce problème de sécurité, quelques améliorations, listées ci-dessous. - SPIP 1.9.2i, version de maintenance de la branche 1.9.2 à télécharger sur => http://files.spip.org/spip/stable/ ou, si vous utilisez spip_loader, en vous rendant à l'adresse => http://xxx.example.tld/spip_loader.php Pour les spécialistes, le patch de sécurité stricto sensu pour la branche 2.0.x, qui ne corrige aucun autre bug et n'apporte aucune autre fonctionnalité, peut se trouver ici : http://fil.rezo.net/secu-14346-14350+14354.patch Il s'agit des révisions [14347] [14348] [14349] [14350] et [14354]. Pour la branche 1.9.2x le patch est ici : http://trac.rezo.net/trac/spip/changeset/14354/branches/spip-1.9.2 Ecran de sécurité : ------------------- Si vous n'avez pas la possibilité de procéder à la mise à jour complète tout de suite, nous vous invitons à colmater sans attendre le problème en installant sur votre site l'« écran de sécurité », que vous pouvez découvrir à l'adresse : http://www.spip.net/fr_article4200.html Cet écran permet de bloquer une éventuelle attaque sans pour autant devoir mettre à jour les fichiers de SPIP. Crédits : --------- L'attaque a été détectée et analysée par Thomas Sutton et Pierre Rousset. Nous vous rappelons que le meilleur moyen pour nous signaler un problème de sécurité est d'envoyer un mail à la liste spip-team arobize rezo.net Quelques modifications notables entre 2.0.8 et 2.0.9 : -------------------------- - integration de l'ecran de securite si présent dans config/ - regexp plus strictes dans inc/syndic.php (évite un warning) - le formulaire de login peut rediriger vers la page de l'auteur connecte - affichage des revisions des champs extras2 et des mots-cles : … - #FORMULAIRE_ECRIRE_AUTEUR : quand le mail ne part pas, le signaler - filtres explode et implode - ne plus changer l'id_auteur des forums quand on les edite - bug #1757 : quand on - renseigne automatiquement un site - puis coche la … - amélioration #1770 : ne pas vider les stats quand on importe un dump - bug #1777 : ne pas publier une rubrique dont l'article est postdate… - corriger l'ordre des éléments dans les flux RSS des forums - afficher en clair les liens dans les forums a moderer - caracteres supplementaires en arabe - certains plugins refusaient de s'activer sur certains site Log de la version 2.0.9 ----------------------- cf. http://trac.rezo.net/trac/spip/log/branches/spip-2.0 depuis 2.0.8 [14354] correction du nom de fichier de sauvegarde [14352] correction des autorisations sur les sauvegardes [14351] correction de l'icone 'tous vos articles" pour les rédacteurs qui avait disparu [14349]-[14350] correction de l'utilisation du validateur XML [14347]-[14348] correction des autorisations sur le chmod et les bases externes [14345] correction de la gestion du Content-Lenght sur requête Head+gz [14024]-[14326] correction de #INCLURE qui ne propage plus connect, comme