==================================================================== CERT-Renater Note d'Information No. 2016/VULN113 _____________________________________________________________________ DATE : 11/03/2016 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running SPIP versions prior to 3.1.1, 3.0.22, 2.1.29. ====================================================================== https://blog.spip.net/Mise-a-jour-CRITIQUE-de-securite-Sortie-de-SPIP-3-1-1-SPIP-3-0-22-et-SPIP-2-1.html _____________________________________________________________________ Mise à jour CRITIQUE de sécurité - Sortie de SPIP 3.1.1, SPIP 3.0.22 et SPIP 2.1.29 jeudi 10 mars 2016, par La team Deux failles de sécurité ont été découvertes récemment dans SPIP : une faille critique permettant l’injection de code PHP (merci à g0uZ et sambecks, team root-me) une faille secondaire permettant l’injection d’objets par unserialize (merci à Gilles Vincent) Ces failles sont sérieuses et affectent toutes les versions de SPIP. Il est impératif de mettre à jour votre site SPIP dès que possible. Les mises à jour suivantes sont disponibles : Version 3.1.1 http://files.spip.net/spip/archives/SPIP-v3.1.1.zip Version 3.0.22 http://files.spip.net/spip/archives/SPIP-v3.0.22.zip Version 2.1.29 http://files.spip.net/spip/archives/SPIP-v2-1.29.zip Ces versions comprennent aussi la correction de bugs des derniers mois. Dans le cas de la branche 2.1, la version embarque aussi des corrections liées a PHP7, il convient d’être prudent lors de la mise à jour. Pour les personnes ne pouvant pas mettre à jour, il est nécessaire d’installer la version 1.2.4 de l’écran de sécurité qui corrige la faille critique. http://www.spip.net/fr_article4200.html Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net Mettre à jour en utilisant le spip_loader Vous pouvez aussi mettre à jour en téléchargeant la dernière version du spip_loader (version 2.5.8) qui installe SPIP 3.1 par défaut http://www.spip.net/spip-dev/INSTALL/spip_loader.php Résumé du suivi des versions de SPIP La version SPIP 3.1.1 est la version stable. La version SPIP 3.0 continue à être maintenue. Dernière version SPIP 3.0.22 La version SPIP 2.1 continue à être maintenue (mise à jour de sécurité uniquement) . Dernière version SPIP 2.1.29. Les versions SPIP 2.0 et antérieures ne sont plus maintenues. Il est vivement conseillé de passer à une version supérieure pour éviter un piratage. Comment être tenu au courant de ces annonces ? C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann . Bien sûr les réseaux sociaux ne sont pas en reste : Seenthis : http://seenthis.net/people/spip Twitter : http://twitter.com/spip Facebook : http://www.facebook.com/spip.net Une question, besoin d’aide ? En cas de problème ou de difficultés, allez sur http://forum.spip.net ========================================================== Serveur de référence du CERT-Renater https://services.renater.fr/ssi/ ========================================================== + CERT-RENATER | tel : 01-53-94-20-44 + + 23 - 25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email: cert@support.renater.fr + ==========================================================