CVE-2023-27372: Mise à jour critique de sécurité : sortie de SPIP 4.2.1, SPIP 4.1.8, SPIP 4.0.10 et SPIP 3.2.18 – SPIP Blog

Accueil > Release > Mise à jour critique de sécurité : sortie de SPIP 4.2.1, SPIP 4.1.8, SPIP (…)

lundi 27 février 2023, par

Suite au signalement d’une faille critique de sécurité, nous publions les version 4.2.1, 4.1.8, 4.0.10 et 3.2.18. Un grand merci à Glop pour le signalement.

Ces versions corrigent une faille critique dont une pouvait permettre de l’exécution de code (RCE) depuis l’espace public dans certains contextes de saisie utilisateur et aussi dans l’espace privé.

Encore une fois, merci à Glop pour l’analyse complète et détaillée transmise.

En plus de la correction de sécurité, la branche 4.1 a bénéficié de corrections de bugs dont le détail est disponible dans le fichier CHANGELOG.

Ces versions sont les dernières pour les branches 3.2 et 4.0, dont la fin du support a été annoncée lors de la sortie de SPIP 4.2.

Cette faille est prise en charge par l’écran de sécurité, voir la documentation sur spip.net.

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 5.3.0)

Le spip_loader est maintenant distribué à l’adresse suivante :
https://get.spip.net/

Le spip_loader.php est maintenant au format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Branche

Version

Suivi

Compatibilité PHP

SPIP 4.2

SPIP 4.2.1

Branche stable

PHP 7.4 à PHP 8.2

SPIP 4.1

SPIP 4.1.8

Branche stable

PHP 7.4 à PHP 8.1

Les versions SPIP 4.0 et antérieures ne sont plus maintenues.

Exceptionnellement nous proposons quand même de nouvelles versions dans ces branches pour corriger cette faille. Nous vous recommandons toutefois de mettre à jour votre SPIP dans une version maintenue dès que possible.

Branche

Version

Suivi

Compatibilité PHP

SPIP 4.0

SPIP 4.0.10

Branche stable

PHP 7.3 à PHP 8.0

SPIP 3.2

SPIP 3.2.18

Branche stable

PHP 5.4 à PHP 7.4

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

• Seenthis : https://seenthis.net/people/spip
• Twitter : https://twitter.com/spip
• Facebook : https://www.facebook.com/spip.net
• Mamot : https://mamot.fr/@spip

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net

Vous pouvez aussi poster un message et échanger sur :

• La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
• La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à [email protected].

Un message, un commentaire ?