===================================================================== CERT-Renater Note d'Information No. 2011/VULN262 _____________________________________________________________________ DATE : 29/03/2011 HARDWARE PLATFORM(S) : / OPERATING SYSTEM(S) : Systems running SPIP versions prior to 2.1.9, 2.0.14, 1.9.2j. ====================================================================== http://www.spip-contrib.net/Mise-a-jour-de-securite-SPIP-2-1-9 ______________________________________________________________________ Mise à jour de sécurité SPIP 2.1.9 25 mars 2011 – par L’équipe de SPIP-Contrib – Bonjour, nos services (merci encore une fois Arnault) viennent de découvrir un trou de sécurité dans SPIP, permettant une injection de type cross-site-scripting (XSS). L’erreur datant de plus de cinq ans (elle a été introduite le 8 octobre 2005), il est clair que TOUTES les versions de SPIP sont touchées. Pour sécuriser votre site, il suffit de mettre à jour le fichier 404.html, qui se trouve dans le répertoire : * dist/ en version SPIP 1.9 * squelettes-dist/ en version SPIP 2.0 ou 2.1 * extensions/dist_2007/ en version de dev Si vous avez personnalisé ce squelette, le correctif consiste simplement à supprimer étoile et filtre pour transformer l’expression #ENV*{erreur}|propre en #ENV{erreur}. Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler des failles ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net. N’hésitez pas à utiliser les différents moyens mis à disposition pour obtenir de l’aide sur cette migration : * liste spip-user : http://listes.rezo.net/mailman/list... * forum : http://forum.spip.org/ * irc : http://spip.net/irc Comment mettre à jour ? Comme d’habitude, plusieurs possibilités pour la mise à jour : 1. l’écran de sécurité si vous n’avez pas le temps de faire tout de suite une mise à jour complète, vous pouvez sécuriser en deux minutes votre site en téléchargeant la version 1.0.1 de l’écran de sécurité, et en la déposant dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html 2. par spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.9 3. par FTP : SPIP 2.1.9 est disponible à l’adresse http://files.spip.org/spip/stable/ 4. et bien sûr par SVN ; faites simplement svn up * dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1 * dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/ * sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.9/ Pour les versions plus anciennes nous avons fait un zip 1.9.2j et 2.0.14 que vous trouverez sur http://files.spip.org/spip/archives/ ====================================================================== ========================================================= Les serveurs de référence du CERT-Renater http://www.urec.fr/securite http://www.cru.fr/securite http://www.renater.fr ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23 - 25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================