[Spip-en] A typo on spip.net and a security hole in SPIP 1.9.2e

From : thomas@... , the 25th septembre 2008 13:41

Hi lists, This message is posted to both SPIP-EN@ and SPIP-DEV@ First, another problem on the English download page: the  tag on    contains "$$version_stable$$" and "$$version_stable_date$$". Perhaps   a script that should be replacing these values is broken? Second, I've just encountered a possible security flaw in SPIP. I   installed SPIP 1.9.2e on a server but had to move on to something   else before beginning that project. I've come back to it today to   find that someone has attempted to inject a link to baidu, possibly   through #SPIP_CRON. The home page of the site contained: instead of (note that the name currently resolves to a different   machine): The content of the link occurs only in this #SPIP_CRON output and was   only present on disc in seven files, all in tmp/cache: cache/3/-inc-dis-som-en.8fc1eb8f cache/2/-inc-dis-som-en.f0e25501 cache/b/-inc_head-en.4aeaaaf7 cache/f/-inc-dis-som-en.1047297b cache/skel/html_41532c9143f310ca5a5e6f0e2a669ffd.php cache/d/-inc-dis-som-en.1ad56fbd cache/d/-inc-dis-som-en.d158200a In addition to the #SPIP_CRON output I noticed in the live page, the   cache also contained the same broken link in places that call   #URL_PAGE (in dist/inc-pied.html) like:  RSS 2.0 | Site Map There are no modified files, no new files (except those created by   the installer) and the only files missing files are those I deleted   manually. The output of running diff -ru against a clean version of   SPIP 1.9.2e is attached. I have a backup of the whole site including   the "polluted" tmp/cache if it will help. There are no CGI programs and no web applications installed except   SPIP and Thelia. The only network services run on this machine are:   • Apache2 with OpenSSL listening on ports 80 and 443   • OpenSSH listening on port 22   • MySQL listening on 127.0.01:3306 There is only one other person with access to this machine and all   accounts are disabled  or protected with strong passwords. There were several things I should have done and did not (rm -rf   ecrire/install/; chmod 755 config/; chmod 400 config/*), but given   that the problematic content occurred only in the cache I suspect   that this a run-time problem with SPIP's handling of GET/POST input. Is this a known bug? Is it a problem with #SPIP_CRON and #URL_PAGE,   or might it be more wide-spread? Is there anything else I can do to   try to track it down? Regards, Thomas Sutton Web Developer bouncingorange graphic + web design Only in spip-1.9.2e/: COPYING.txt Only in spip-1.9.2e/: INSTALL.txt Only in spip-1.9.2e/: UPGRADE.txt Only in keturah~/config: .htaccess Only in keturah~/config: chmod.php Only in keturah~/config: connect.php Only in spip-1.9.2e/ecrire/lang: ecrire_ar.php Only in spip-1.9.2e/ecrire/lang: ecrire_bg.php Only in spip-1.9.2e/ecrire/lang: ecrire_br.php Only in spip-1.9.2e/ecrire/lang: ecrire_bs.php Only in spip-1.9.2e/ecrire/lang: ecrire_ca.php Only in spip-1.9.2e/ecrire/lang: ecrire_cpf.php Only in spip-1.9.2e/ecrire/lang: ecrire_cpf_hat.php Only in spip-1.9.2e/ecrire/lang: ecrire_cs.php Only in spip-1.9.2e/ecrire/lang: ecrire_da.php Only in spip-1.9.2e/ecrire/lang: ecrire_de.php Only in spip-1.9.2e/ecrire/lang: ecrire_eo.php Only in spip-1.9.2e/ecrire/lang: ecrire_es.php Only in spip-1.9.2e/ecrire/lang: ecrire_eu.php Only in spip-1.9.2e/ecrire/lang: ecrire_fa.php Only in spip-1.9.2e/ecrire/lang: ecrire_fon.php Only in spip-1.9.2e/ecrire/lang: ecrire_gl.php Only in spip-1.9.2e/ecrire/lang: ecrire_hu.php Only in spip-1.9.2e/ecrire/lang: ecrire_id.php Only in spip-1.9.2e/ecrire/lang: ecrire_it.php Only in spip-1.9.2e/ecrire/lang: ecrire_it_fem.php Only in spip-1.9.2e/ecrire/lang: ecrire_ja.php Only in spip-1.9.2e/ecrire/lang: ecrire_lb.php Only in spip-1.9.2e/ecrire/lang: ecrire_nl.php Only in spip-1.9.2e/ecrire/lang: ecrire_oc_auv.php Only in spip-1.9.2e/ecrire/lang: ecrire_oc_gsc.php Only in spip-1.9.2e/ecrire/lang: ecrire_oc_lms.php Only in spip-1.9.2e/ecrire/lang: ecrire_oc_lnc.php Only in spip-1.9.2e/ecrire/lang: ecrire_oc_ni.php Only in spip-1.9.2e/ecrire/lang: ecrire_oc_ni_la.php Only in spip-1.9.2e/ecrire/lang: ecrire_oc_prv.php Only in spip-1.9.2e/ecrire/lang: ecrire_oc_va.php Only in spip-1.9.2e/ecrire/lang: ecrire_pl.php Only in spip-1.9.2e/ecrire/lang: ecrire_pt.php Only in spip-1.9.2e/ecrire/lang: ecrire_pt_br.php Only in spip-1.9.2e/ecrire/lang: ecrire_ro.php Only in spip-1.9.2e/ecrire/lang: ecrire_ru.php Only in spip-1.9.2e/ecrire/lang: ecrire_tr.php Only in spip-1.9.2e/ecrire/lang: ecrire_vi.php Only in spip-1.9.2e/ecrire/lang: ecrire_zh.php Only in spip-1.9.2e/ecrire/lang: public_ar.php Only in spip-1.9.2e/ecrire/lang: public_bg.php Only in spip-1.9.2e/ecrire/lang: public_br.php Only in spip-1.9.2e/ecrire/lang: public_bs.php Only in spip-1.9.2e/ecrire/lang: public_ca.php Only in spip-1.9.2e/ecrire/lang: public_cpf.php Only in spip-1.9.2e/ecrire/lang: public_cpf_hat.php Only in spip-1.9.2e/ecrire/lang: public_cs.php Only in spip-1.9.2e/ecrire/lang: public_da.php Only in spip-1.9.2e/ecrire/lang: public_de.php Only in spip-1.9.2e/ecrire/lang: public_eo.php Only in spip-1.9.2e/ecrire/lang: public_es.php Only in spip-1.9.2e/ecrire/lang: public_eu.php Only in spip-1.9.2e/ecrire/lang: public_fa.php Only in spip-1.9.2e/ecrire/lang: public_fon.php Only in spip-1.9.2e/ecrire/lang: public_gl.php Only in spip-1.9.2e/ecrire/lang: public_hu.php Only in spip-1.9.2e/ecrire/lang: public_id.php Only in spip-1.9.2e/ecrire/lang: public_it.php Only in spip-1.9.2e/ecrire/lang: public_it_fem.php Only in spip-1.9.2e/ecrire/lang: public_ja.php Only in spip-1.9.2e/ecrire/lang: public_lb.php Only in spip-1.9.2e/ecrire/lang: public_nl.php Only in spip-1.9.2e/ecrire/lang: public_oc_auv.php Only in spip-1.9.2e/ecrire/lang: public_oc_gsc.php Only in spip-1.9.2e/ecrire/lang: public_oc_lms.php Only in spip-1.9.2e/ecrire/lang: public_oc_lnc.php Only in spip-1.9.2e/ecrire/lang: public_oc_ni.php Only in spip-1.9.2e/ecrire/lang: public_oc_ni_la.php Only in spip-1.9.2e/ecrire/lang: public_oc_prv.php Only in spip-1.9.2e/ecrire/lang: public_oc_va.php Only in spip-1.9.2e/ecrire/lang: public_pl.php Only in spip-1.9.2e/ecrire/lang: public_pt.php Only in spip-1.9.2e/ecrire/lang: public_pt_br.php Only in spip-1.9.2e/ecrire/lang: public_ro.php Only in spip-1.9.2e/ecrire/lang: public_ru.php Only in spip-1.9.2e/ecrire/lang: public_tr.php Only in spip-1.9.2e/ecrire/lang: public_vi.php Only in spip-1.9.2e/ecrire/lang: public_zh.php Only in spip-1.9.2e/ecrire/lang: spip_ar.php Only in spip-1.9.2e/ecrire/lang: spip_bg.php Only in spip-1.9.2e/ecrire/lang: spip_br.php Only in spip-1.9.2e/ecrire/lang: spip_bs.php Only in spip-1.9.2e/ecrire/lang: spip_ca.php Only in spip-1.9.2e/ecrire/lang: spip_cpf.php Only in spip-1.9.2e/ecrire/lang: spip_cpf_hat.php Only in spip-1.9.2e/ecrire/lang: spip_cs.php Only in spip-1.9.2e/ecrire/lang: spip_da.php Only in spip-1.9.2e/ecrire/lang: spip_de.php Only in spip-1.9.2e/ecrire/lang: spip_eo.php Only in spip-1.9.2e/ecrire/lang: spip_es.php Only in spip-1.9.2e/ecrire/lang: spip_eu.php Only in spip-1.9.2e/ecrire/lang: spip_fa.php Only in spip-1.9.2e/ecrire/lang: spip_fon.php Only in spip-1.9.2e/ecrire/lang: spip_gl.php Only in spip-1.9.2e/ecrire/lang: spip_hu.php Only in spip-1.9.2e/ecrire/lang: spip_id.php Only in spip-1.9.2e/ecrire/lang: spip_it.php Only in spip-1.9.2e/ecrire/lang: spip_it_fem.php Only in spip-1.9.2e/ecrire/lang: spip_ja.php Only in spip-1.9.2e/ecrire/lang: spip_lb.php Only in spip-1.9.2e/ecrire/lang: spip_nl.php Only in spip-1.9.2e/ecrire/lang: spip_oc_auv.php Only in spip-1.9.2e/ecrire/lang: spip_oc_gsc.php Only in spip-1.9.2e/ecrire/lang: spip_oc_lms.php Only in spip-1.9.2e/ecrire/lang: spip_oc_lnc.php Only in spip-1.9.2e/ecrire/lang: spip_oc_ni.php Only in spip-1.9.2e/ecrire/lang: spip_oc_ni_la.php Only in spip-1.9.2e/ecrire/lang: spip_oc_prv.php Only in spip-1.9.2e/ecrire/lang: spip_oc_va.php Only in spip-1.9.2e/ecrire/lang: spip_pl.php Only in spip-1.9.2e/ecrire/lang: spip_pt.php Only in spip-1.9.2e/ecrire/lang: spip_pt_br.php Only in spip-1.9.2e/ecrire/lang: spip_ro.php Only in spip-1.9.2e/ecrire/lang: spip_ru.php Only in spip-1.9.2e/ecrire/lang: spip_tr.php Only in spip-1.9.2e/ecrire/lang: spip_vi.php Only in spip-1.9.2e/ecrire/lang: spip_zh.php Only in keturah~/local: cache-vignettes Only in keturah~/local: test-gif.jpg Only in keturah~/local: test-jpg.jpg Only in keturah~/local: test_gd1.jpg Only in keturah~/local: test_gd2.jpg Only in keturah~/tmp: .htaccess Only in keturah~/tmp: cache Only in keturah~/tmp: cache-menu-rubriques.txt Only in keturah~/tmp: charger_pipelines.php Only in keturah~/tmp: charger_plugins_fonctions.php Only in keturah~/tmp: charger_plugins_options.php Only in keturah~/tmp: cron.lock Only in keturah~/tmp: cron.lock-gourmand Only in keturah~/tmp: indexation.lock Only in keturah~/tmp: invalideur.lock Only in keturah~/tmp: maintenance.lock Only in keturah~/tmp: meta_cache.txt Only in keturah~/tmp: mysql.log Only in keturah~/tmp: optimiser.lock Only in keturah~/tmp: popularites.lock Only in keturah~/tmp: rubriques.lock Only in keturah~/tmp: sessions Only in keturah~/tmp: spip.log Only in keturah~/tmp: spip.log.1 Only in keturah~/tmp: spip.log.2 Only in keturah~/tmp: spip.log.3 Only in keturah~/tmp: syndic.lock Only in keturah~/tmp: upload Only in keturah~/tmp: verifier_plugins.txt Only in keturah~/tmp: visites Only in keturah~/tmp: visites.lock