=====================================================================
                                   CERT-Renater

                        Note d'Information No. 2011/VULN006
_____________________________________________________________________

DATE                      : 05/01/2011

HARDWARE PLATFORM(S)      : /

OPERATING SYSTEM(S)       : Systems running SPIP version prior to 2.1.6.

======================================================================
http://www.spip-contrib.net/SPIP-2-1-6?var_zapl=non
______________________________________________________________________

SPIP 2.1.6

3 janvier 2011 – par L’équipe de SPIP-Contrib – 14 commentaires

Cette nouvelle version corrige divers problèmes de sécurité.

Ces bugs pouvaient permettre à un rédacteur du site de modifier
la configuration du site à travers un script de configuration mal
protégé, ou de manipuler le compte d’un administrateur par des
attaques du type Cross-Site Scripting (XSS).

Ils nous ont été signalés par Eric Seguinard, l’organisateur du
concours pirate-moi, et Matsuyama qui l’a gagné. Nous les
remercions pour cela.

La version 2.1.6 corrige aussi quelques petits soucis mineurs :
-  sur la messagerie interne en cas de l’absence du plugin
"champs extras".
-  l’info de mise à jour pouvait indiquer plusieurs nouvelles
versions de SPIP
-  des erreurs de compilation ne s’affichaient plus
-  utilisation de LIKE en SQLite
-  année 0000 en Postgresql
-  amélioration de la détection de l’existence d’une table
-  gestion d’un champ titre générique pour les urls

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité ; si vous n’avez pas le temps de faire
tout de suite une mise à jour complète, vous pouvez sécuriser en
deux minutes votre site en téléchargeant la version 0.9.5 de l’écran
de sécurité, et en la déposant dans votre répertoire config/ *
cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader,
rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php
pour installer SPIP 2.1.6

3. par FTP : SPIP 2.1.6 est disponible à l’adresse

    * http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; si vous êtes dans la branche

    * svn ://trac.rezo.net/spip/branches/spip-2.1 faites simplement svn up

La version 2.1.6 est aussi disponible sous la branche

    * svn ://trac.rezo.net/spip/branches/spip-2-stable/ et le tag
    * svn ://trac.rezo.net/spip/tags/spip-2.1.6/

P.-S.

Cette mise à jour de SPIP nécessite également une mise à jour des
plugins CFG, SPIP-bonux et Composition.

======================================================================

          =========================================================
          Les serveurs de référence du CERT-Renater
          http://www.urec.fr/securite
          http://www.cru.fr/securite
          http://www.renater.fr
          =========================================================
          + CERT-RENATER          | tel : 01-53-94-20-44          +
          + 23 - 25 Rue Daviel    | fax : 01-53-94-20-41          +
          + 75013 Paris           | email: certsvp@renater.fr     +
          =========================================================