URGENT - Mise à jour de sécurité vers Spip 2.1.8

samedi 15 janvier 2011
par  _Equipe_
popularité : 3%

Quelques jours après la sortie de Spip 2.1.6 qui corrigeait divers problèmes de sécurité, sort la version Spip 2.1.8.

SPIP 2.1.8 corrige une importante faille de sécurité

Il convient de faire la mise à jour de toute urgence, Spip 2.1.8 est téléchargeable ici.

L’alerte est détaillée sur Spip-contrib

La faille a été signalée le 13 janvier 2011, Spip 2.1.8 est sorti le 14 janvier. Nous attirons votre attention sur le fait que, contrairement aux précédentes, cette faille est CRITIQUE.

Tous les sites sous SPIP sont concernés, quels que soient leurs réglages. Les conséquences en cas d’attaque peuvent aller jusqu’à la destruction des fichiers du site et de sa base de données.

Cette faille concerne toutes les versions 2.0.x et 2.1.x de SPIP, jusqu’à la version 2.1.6 parue le 6 janvier 2011.

Une nouvelle version stable vient d’être publiée : SPIP 2.1.8

Une fois la mise à jour faite, il est absolument nécessaire d’effectuer la mise à jour de certains plugins pour éviter messages d’erreurs côté « privé » et mésaventures dans la gestion des documents (problèmes liés au passage à 2.1.6).

Il faut en particulier télécharger et installer la dernière version

-  de Cfg (Revision : 43371, du 7 janvier 2011), téléchargeable ici
-  de Spip-bonux (au moins la Revision : 43222, du 29 décembre 2010)
-  de Compositions (Revision : 43350 du 5 janvier 2011) si vous utilisez ce plugin
-  de Médiathèque (Revision : 43462 du 9 janvier 2011,) si vous utilisez ce plugin (sous peine de ne plus pouvoir installer de nouveaux documents).

Merci de nous faire part de vos déboires éventuels avec certains plugins, nous complèterons la liste.

Pour la série 2.0 plus ancienne : la version SPIP-2.0.13 corrige la faille. Elle est disponible sur http://files.spip.org/spip/archives/

Pour toutes les versions, et pour ceux qui ne peuvent/veulent se lancer dans une mise à jour de leur site dans l’urgence, l’écran de sécurité est disponible. L’écran de sécurité (version 0.9.7) est valable pour toutes les versions de spip. Il est téléchargeable ici. À partir de SPIP 2.0.9, il suffit de déposer le fichier ecran_securite.php dans le répertoire config/ du site pour qu’il soit pris en compte automatiquement. Pour les version antérieures, voir le détail sur la page de téléchargement.

Bon courage !

L’équipe Sarka