=====================================================================
                                    CERT-Renater

                         Note d'Information No. 2011/VULN306
_____________________________________________________________________

DATE                      : 08/04/2011

HARDWARE PLATFORM(S)      : /

OPERATING SYSTEM(S)       : Systems running SPIP version 2 prior to 2.1.10.

======================================================================
http://www.spip-contrib.net/Mise-a-jour-de-securite-SPIP-2-1-10
______________________________________________________________________

Mise à jour de sécurité SPIP 2.1.10

7 avril 2011 – par L’équipe de SPIP-Contrib – 2 commentaires


Bonjour,

et oui encore une nouvelle version de SPIP disponible suite à la découverte
d’une faille par Arnault.

Cette faille concerne les branches 2.0 et 2.1 et peut permettre à un rédacteur
de déconnecter le site de sa base de données.

Nous rappelons à tous et à toutes que le meilleur moyen pour nous signaler
des failles ou des suspicions de failles est d’envoyer un message à
spip-team@rezo.net.

Comment mettre à jour ?

Comme d’habitude, plusieurs possibilités pour la mise à jour :

1. l’écran de sécurité ; si vous n’avez pas le temps de faire tout de suite
une mise à jour complète, vous pouvez sécuriser en deux minutes votre site
en téléchargeant la version 1.0.4 de l’écran de sécurité, et en la déposant
dans votre répertoire config/ cf. http://www.spip.net/fr_article4200.html

2. par spip_loader.php : si vous avez installé spip_loader, rendez-vous à l’adresse 
http://ADRESSE_DU_SITE/spip_loader.php pour installer SPIP 2.1.10

3. par FTP : SPIP 2.1.10 est disponible à l’adresse
http://files.spip.org/spip/stable/

4. et bien sûr par SVN ; faites simplement svn up

     * dans la branche 2.1 : svn ://trac.rezo.net/spip/branches/spip-2.1
     * dans la branche stable : svn ://trac.rezo.net/spip/branches/spip-2-stable/
     * sur le tag : svn ://trac.rezo.net/spip/tags/spip-2.1.10/

Pour les versions plus anciennes nous avons fait un zip spip-2.0.15
que vous trouverez sur http://files.spip.org/spip/archives/

N’hésitez pas à utiliser les différents moyens mis à disposition pour
obtenir de l’aide sur cette migration :

     * liste spip-user : http://listes.rezo.net/mailman/list...
     * forum : http://forum.spip.org/
     * irc : http://spip.net/irc

======================================================================

           =========================================================
           Les serveurs de référence du CERT-Renater
           http://www.urec.fr/securite
           http://www.cru.fr/securite
           http://www.renater.fr
           =========================================================
           + CERT-RENATER          | tel : 01-53-94-20-44          +
           + 23 - 25 Rue Daviel    | fax : 01-53-94-20-41          +
           + 75013 Paris           | email: certsvp@renater.fr     +
           =========================================================