Mise à jour

BenL

Avril 2019

Bonjour,

J’ai reçu via spip@rezo.net le message suivant :

"Une faille CRITIQUE a été découverte récemment sous SPIP, permettant l’exécution de code arbitraire par les visiteurs identifiés.
Elle touche les versions SPIP 3.1 inférieure à la 3.1.10. et les versions SPIP 3.2. inférieures à la version 3.2.4 et impacte tous les sites utilisant ces versions.
Les versions SPIP 3.0 et antérieures ne sont pas concernées par ce problème.
Il est impératif de mettre à jour votre site SPIP dès que possible.
Dans l’attente d’une mise à jour de votre site, l’écran de sécurité en version 1.3.11 bloque les exploitations possibles de la faille.
https://www.spip.net/fr_article4200.html
La mise à jour de l’écran de sécurité reste une mesure transitoire qui ne vous dispense pas de la mise à jour de SPIP dans les meilleurs délais.
Annonce complète et détails
https://blog.spip.net/834"

Ma question est la suivante :
Je suis effectivement sous une version touchée par la faille (3.1.1.) mais, étant tout à fait novice concernant ces aspects techniques, quelle est la nécessité et la faisabilité d’une telle mise à jour ?

Merci !

SPIP 3.1

Par note Par date Par date chronologique

Indiquez l’intérêt que vous portez à cette réponse

0

Courcelles Design

Avril 2019

Bonjour
il est dit "permettant l’exécution de code arbitraire par les visiteurs identifiés."

il semblerai donc que l’attaque ne peux venir que d’un inscrit donc tous les sites gérés que par un ou des admins (qui ne vont pas se hacker eux même à priori ) ne sont pas impactés

ensuite pour faire les mises à jour (ce qui est mieux) il faut sauvegarder la base et vérifier la compatibilité de vos plugins moi j’utilise Vérifier ses plugins avant un changement de version de SPIP

si tout est bon je fais la mise à jour avec spip_loader