==================================================================== CERT-Renater Note d'Information No. 2021/VULN105 _____________________________________________________________________ DATE : 19/02/2021 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running SPIP versions prior to 3.2.9, 3.1.15. ===================================================================== https://blog.spip.net/Mise-a-jour-CRITIQUE-de-securite-sortie-de-SPIP-3-2-9-et-SPIP-3-1-15.html _____________________________________________________________________ Mise à jour CRITIQUE de sécurité : sortie de SPIP 3.2.9 et SPIP 3.1.15 samedi 13 février 2021, par La team Des failles de sécurité nous ont été signalées sur la branche 3.2, elles permettent à des auteurs identifiés d’exécuter du code PHP arbitraire. La version SPIP 3.2.9 corrige ces failles. Nous sortons aussi une version SPIP 3.1.15 qui corrige ces failles pour la branche 3.1. Il est impératif de mettre à jour votre site SPIP dès que possible. Attention : si vous êtes est sous SVN : le dépôt SVN n’est plus mis à jour. Il faut donc passer sous Git. Il n’a pas été possible de faire en sorte que l’écran de sécurité corrige ces failles, nous vous conseillons donc vivement de faire cette mise à jour. Mettre à jour en utilisant le spip_loader Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 4.3.0). https://www.spip.net/spip-dev/INSTALL/spip_loader.php Résumé des versions de SPIP Branche Version Suivi SPIP 3.2 SPIP 3.2.9 Branche stable SPIP 3.1 SPIP 3.1.15 Branche maintenue Les versions SPIP 3.0, 2.1 et antérieures ne sont plus maintenues. Même si elles ne sont pas impactées par cette faille, il est vivement conseillé de passer à une version supérieure pour éviter des problèmes de sécurité. Pour connaître le détail des versions maintenues : https://www.spip.net/fr_article6500.html Si vous êtes un peu perdu⋅e il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur la liste spip-dev https://listes.rezo.net/mailman/listinfo/spip-dev Comment être tenu au courant de ces annonces ? C’est simple, inscrivez-vous sur la mailing liste http://listes.rezo.net/mailman/listinfo/spip-ann Bien sûr les réseaux sociaux sont de la partie : Seenthis : https://seenthis.net/people/spip Twitter : https://twitter.com/spip Facebook : https://www.facebook.com/spip.net Mamot : https://mamot.fr/@spip Une question, besoin d’aide ? En cas de problème ou de difficultés, allez sur https://forum.spip.net Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + =========================================================