====================================================================== CERT-Renater Note d'Information No. 2024/VULN327 _____________________________________________________________________ DATE : 22/08/2024 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running SPIP versions prior to 4.3.2, 4.2.16, 4.1.18. ===================================================================== https://blog.spip.net/Mise-a-jour-critique-de-securite-sortie-de-SPIP-4-3-2-SPIP-4-2-16-SPIP-4-1-18.html _____________________________________________________________________ Mise à jour critique de sécurité : sortie de SPIP 4.3.2, SPIP 4.2.16, SPIP 4.1.18 mardi 20 août 2024, par L’équipe maintenance Suite au signalement d’une faille critique de sécurité, qui affecte toutes les versions de SPIP depuis la 4.0, nous publions les versions SPIP 4.3.2, SPIP 4.2.16, SPIP 4.1.18. Un grand merci à Laluka (Jacques-Chevallier Louka) et Vozec (Arthur Deloffre) pour le signalement. Ces versions corrigent une faille critique permettant l’exécution de code (RCE) depuis l’espace public sur les branches 4.1, 4.2 et 4.3 de SPIP. Il est impératif de mettre à jour votre site SPIP immédiatement. Encore une fois, merci à Laluka (Jacques-Chevallier Louka) et Vozec (Arthur Deloffre) pour l’analyse complète et détaillée transmise. Cette faille est prise en charge par l’écran de sécurité, voir la documentation sur spip.net. La faille concerne aussi les branches non maintenues de SPIP, notamment SPIP4.0, qui utilisent le plugin bigup. Vous pouvez sécuriser ces sites à l’aide de la dernière version de l’écran de sécurité. Comme toujours, il est fortement recommandé de mettre à jour vers une version maintenue de SPIP. En plus de la correction de la faille de sécurité, la version 4.3.2 apporte les améliorations ou corrections de bugs suivantes. SPIP 4.3.2 Sécurité Mise à jour de l’écran de sécurité en version 1.6.3 Nécessiter un jeton valide (un formulaire demandant bigup) pour activer la recherche de fichiers dans $_FILES Refactor de l’analyse de $_FILES Changements Revert du calcul automatique des chaînes de langue du menu Créer du bandeau de l’espace privé Corrections Générer des contenus éditoriaux aussi compatibles XHTML (sur br et img) Afficher aussi dans l’espace privé le tableau des requêtes du mode var_profile=1 Modifier les chaînes de langues utilisées pour les objets déclarés dans le menu Créer (article, rubrique, auteur) Mettre à jour en utilisant le spip_loader Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.1.7). spip_loader est distribué à l’adresse suivante : https://get.spip.net/ Le fichier spip_loader.php est un script compilé dans un format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html). Résumé des versions de SPIP Branche Version Suivi Compatibilité PHP SPIP 4.3 SPIP 4.3.2 Maintenance active PHP 7.4 à PHP 8.3 SPIP 4.2 SPIP 4.2.16 Correctifs de sécurité PHP 7.4 à PHP 8.3 SPIP 4.1 SPIP 4.1.18 Correctifs de sécurité PHP 7.4 à PHP 8.1 Pour connaître le détail des versions maintenues : https://www.spip.net/fr_article6500.html Comment être tenu au courant de ces annonces ? C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13 Bien sûr, les réseaux sociaux sont de la partie : Seenthis : https://seenthis.net/people/spip Facebook : https://www.facebook.com/spip.net Mamot : https://mamot.fr/@spip Une question, besoin d’aide ? En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur Discord notre serveur. Vous pouvez aussi poster un message et échanger sur : La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6 La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5 Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à spip-team@rezo.net. ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + =========================================================