Re: Trous de sécurité

Jean-Christophe Villeneuve a écrit :
>
> Jean-Pierre AUBERT a écrit :
>> Bonjour, j'ai vu qu'une alerte du CERTA signalait des trous
>> de sécurité qui peuvent entrainer des intrusions à distance. QUelles 
>> versions de SPIP sont concernées (j'utilise 1.92)et
>> existe-t-il des rustines pour boucher ces trous?
>> Merci pour les réponses.
>> Cordialement
>> Jean-Pierre AUBERT
>>   
> il te faut 192g ou 202 pour être tranquille

___________________________________________________________________

L'alerte à laquelle Jean-Pierre AUBERT fait référence est la suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-612/index.html

Il semble, en effet que monter en version > à 1.9.2 semble être une 
solution.

J'en profite...

Le réseau CERT- RENATER a signalé dernièrement une attaque sur le site 
du CIRED (Centre International de Recherche sur L'Environnement Durable) 
qui utilise le kit SPIP du CNRS (version 1.9.2e).
Dans la réalité la version "officielle" du kit SPIP CNRS est la 1.9.1 
mais il existe une procédure pour passer en 1.9.2e

voir :
http://www.harmoweb.cnrs.fr/

> >>         Message du CERT-RENATER (certsvp <at> renater.fr)
> >>
> >>  Présence de contenu inapproprié un site web de votre domaine
> >>
> >> ===================================================================
> >>
> >> Bonjour,
> >>
> >> Nous avons découvert suite à une recherche sur internet la présence
> >> de contenu inapproprié sur votre site web present sur la machine:
> >>
> >> www.centre-cired.fr  / 193.51.120.253
> >>
> >> Il s'agit d'ajout de page ou de messages postés sur des forums.
>   
Note de Tonton BP : il n'y a pas de forums sur le site du CIRED...
> >> Ces messages contiennent des liens annonçant des sites webs
> >> de vente de produits pharmaceutiques, des sites à caractère
> >> pornographique et autres.
> >>
> >> Les pages webs incriminées sont les suivantes :
> >>
> >> http://www.centre-cired.fr/index_fr.php?p=cialis-a-vendre
> >> http://www.centre-cired.fr/index_fr.php?p=achat-kamagra
> >> http://www.centre-cired.fr/index_fr.php?p=viagra-sans-ordonnance
> >> http://www.centre-cired.fr/index_fr.php?p=trouble-erection
> >> ...
> >>
> >> En règle générale, ce type de cas est le symptôme d'un probleme
> >> de mise a jour du CMS associé a votre site web permettant a des
> >> intrus l'ajout de scripts php utilises pour generer ce type de pages.
> >> Il est possible que votre serveur soit compromis.
Le problème à été désormais "fixé" par la suppression des fichiers 
corrompus et passage en 1.9.2g.

Concernant la version 2.0.2 de SPIP on verra plus tard lorsqu'on sera 
sûr à 100% que le kit SPIP du CNRS est full compatible avec la version 
2.0.2.
Pour la version 2.0 c'est acté, mais il faut encore pas mal de tests, 
pour la version 2.0.2.
SPIP évolue trop vite...         
nan je déconne...

J'en profite...
Je ne sais pas qui a eu cette idée géniale mais je lui paie l'apéro ou 
un thé où il(elle) le désire.
1 - La possibilité de réaliser la sauvegarde de la base de données sans 
"certification FTP" pour un administrateur en partie privée (version 
SPIP 1.9.2)
2 - La possibilité de réaliser la restauration de la base de données 
sans "certification FTP" pour le seul Administrateur qui a installé le 
site (version SPIP 2.0). Je ne sais pas comment cela fonctionne mais je 
suppose qu'il s'agit de l'auteur d'ID 1 mais peu importe...
Au CNRS la personne qui a "la main" sur les serveur sest souvent [dans 
les unités] que 1/2 ou 1 journée par semaine et a "d'autres chat à 
fouetter" que de s'occuper de sauvegardes ou restaurations des sites web.
Clairement le webmaster qui a été formé sur le site web CNRS sous SPIP a 
toute latence pour réaliser des opérations de maintenance sur son site.

L'apéro ou le thé quand il(elle) veut ai-je dit...

Tonton BP