=================================================================== CERT-Renater Note d'Information No. 2023/VULN207 _____________________________________________________________________ DATE : 01/06/2023 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running écran de sécurité versions prior to 1.5.3. ====================================================================https://blog.spip.net/Mise-a-jour-critique-de-l-ecran-de-securite-1-5-2-1-5-3?lang=fr _____________________________________________________________________ Mise à jour critique de l’écran de sécurité 1.5.3 mercredi 31 mai 2023, par La team Suite au signalement de sites SPIP compromis avec l’écran de sécurité v1.5.1, nous publions une nouvelle version de l’écran de sécurité pour mieux bloquer la faille affectant les anciennes versions de SPIP. Cette version bloque l’exploitation d’une faille critique permettant l’exécution de code (RCE) depuis l’espace public dans certains contextes de saisie utilisateur et aussi dans l’espac privé sur des sites de versions antérieures à 4.2.1, 4.1.8, 4.0.10 et 3.2.18. Si vous n’avez pas encore mis à jour vos sites vers une de ces versions de SPIP ou ultérieures, il devient urgent de le faire. Mais en attendant, cette nouvelle version 1.5.3 de l’écran de sécurité est à appliquer, le temps de faire le nécessaire. Cette faille est prise en charge par l’écran de sécurité Télécharger le dernier écran de sécurité : https://www.spip.net/fr_article4200.html Mettre à jour en utilisant le spip_loader Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 6.1.1) Le spip_loader est maintenant distribué à l’adresse suivante : https://get.spip.net/ Le spip_loader.php est maintenant au format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html). Résumé des versions de SPIP Branche Version Suivi Compatibilité PHP SPIP 4.2 SPIP 4.2.2 Branche stable PHP 7.4 à PHP 8.2 SPIP 4.1 SPIP 4.1.9 Branche stable PHP 7.4 à PHP 8.1 Les versions SPIP 4.0 et antérieures ne sont plus maintenues. Branche Version Suivi Compatibilité PHP SPIP 4.0 SPIP 4.0.11 Branche stable PHP 7.3 à PHP 8.0 SPIP 3.2 SPIP 3.2.19 Branche stable PHP 5.4 à PHP 7.4 Pour connaître le détail des versions maintenues : https://www.spip.net/fr_article6500.html Comment être tenu au courant de ces annonces ? C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13 Bien sûr, les réseaux sociaux sont de la partie : Seenthis : https://seenthis.net/people/spip Twitter : https://twitter.com/spip Facebook : https://www.facebook.com/spip.net Mamot : https://mamot.fr/@spip Une question, besoin d’aide ? En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net Vous pouvez aussi poster un message et échanger sur : La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6 La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5 Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net. ========================================================+ CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + =======================================================