==================================================================== CERT-Renater Note d'Information No. 2012/VULN263 ____________________________________________________________________ DATE : 04/07/2012 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running SPIP versions prior to SPIP 3.0.3, 2.1.16, 2.0.21. ====================================================================== http://www.spip-contrib.net/SPIP-3-0-3-2-1-16-et-2-0-21-a-l-etape-303-epate-la ______________________________________________________________________ SPIP 3.0.3, 2.1.16 et 2.0.21 : à l’étape 303, épate-la une faille CRITIQUE nous a été signalée, elle concerne les branches 2.0, 2.1 et 3.0. Nous vous encourageons à mettre à jour RAPIDEMENT vos sites SPIP, ou à défaut à les protéger au moyen de l’écran de sécurité. Les autres changements apportés à la version 3.0.3 : - Amélioration des performances sous SQLite - Correction d’un bug sur la modification de l’email par un redacteur - Petit changement d’ergonomie dans l’interface d’amdinistration des plugins afin de mettre plus en avant les plugins activables L’utilisation de l’écran de sécurité mis à jour protège de toutes les failles qui nous ont été signalées dans toutes les versions de SPIP. Vous êtes encouragés à télécharger la version la plus récente de l’écran de sécurité (1.1.3 du 03 juillet 2012) et à la déposer dans votre répertoire config/ (cf. http://www.spip.net/fr_article4200.html). Toutefois, si vous avez la possibilité, nous vous recommandons fortement de mettre à jour SPIP avec les nouvelles versions. N’hésitez pas à utiliser les différents moyens mis à disposition par la communauté pour obtenir de l’aide lors de cette mise à jour : - Liste spip-user : http://listes.rezo.net/mailman/listinfo/spip - Forum : http://forum.spip.org/ - IRC : http://spip.net/irc Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles est d’envoyer un email à spip-team@rezo.net. C’est ce qu’Arnault a fait et nous le remercions. Comment mettre à jour ? 1. par spip_loader.php : si vous avez déjà installé spip_loader, rendez-vous à l’adresse http://VOTRE_SITE/spip_loader.php pour installer la dernière version de SPIP. Attention cependant : lisez bien les instructions ici : http://www.spip.net/fr_download#spip_loader pour ne pas être surpris par un passage non voulu de SPIP2 à SPIP3 2. par copie des fichiers : SPIP 3.0.3 est disponible à l’adresse http://files.spip.org/spip/stable/spip-3.0.zip 3. par SVN : si vous êtes dans la branche 3 faites simplement un « svn up » svn ://trac.rezo.net/spip/branches/spip-3.0 la version 3.0.3 est aussi disponible sous la branche : svn ://trac.rezo.net/spip/branches/spip-3-stable et sous le tag svn ://trac.rezo.net/spip/tags/spip-3.0.3 Les versions 2.0.21 et 2.1.16 sont téléchargeables ici : http://files.spip.org/spip/archives/ ====================================================================== ========================================================= Serveur de référence du CERT-Renater https://services.renater.fr/ssi/ ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23 - 25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================