[Résolu] faille sur admin/configuration et modules de la version MS2fr? |
Bienvenue invité ( Connexion | Inscription )
[Résolu] faille sur admin/configuration et modules de la version MS2fr? |
29 Jan 2016, 19:05
Message
#1
|
|
Ceinture orange OSC Groupe : Membres Messages : 193 Inscrit : 2-September 05 Lieu : Dijon Membre no 6970 |
Bonjour à tous,
Je suis hébergé chez Online, et ils passent de manière aléatoire leurs hébergés à la moulinette pour savoir si leurs script ne contiennent pas des failles de sécurité. D'après eux les fichiers admin/configuration et admin/modules ont une/des faille(s) mais ils n'en disent pas plus. Mon dossier admin est renommé et protégé par un .htaccess Avez-vous une idée? Je sais que je n'ai pas la dernière version d'oscommerce mais si il y avait juste des lignes à éditer.. Ce message a été modifié par buvezduvin - 2 Feb 2016, 12:40. -------------------- - avec modération -
MS2 fr, ~35 contrib. |
|
30 Jan 2016, 07:24
Message
#2
|
|
Ceinture marron OSC Groupe : Modérateurs Messages : 1543 Inscrit : 30-May 06 Lieu : Vichy (03) Membre no 10583 |
Bonjour,
Tu as très bien fait de renommer ton admin et d'avoir un .htaccess en plus. Tu peux aussi supprimer le fichier file_manager.php dont l'utilisation est déconseillée. Le seul point souvent négligé par les utilisateurs de boutiques d'e-commerce est le chmod de certains fichiers. Pour OsCommerce, c'est ici : http://www.oscommerce-fr.info/faq/qa_info.php?qID=126 Peut-être est cela leur "faille" ? Mais je vois que depuis que je les ai quitté pour mon plus grand bien (j'étais en mutualisé), ils n'ont pas changé leur mode de communication .... -------------------- Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse) Config 2 en local avec UwAmp : Osc Phoenix |
|
30 Jan 2016, 09:35
Message
#3
|
|
Ceinture orange OSC Groupe : Membres Messages : 193 Inscrit : 2-September 05 Lieu : Dijon Membre no 6970 |
Bonjour Bonbec et merci pour tes infos, visiblement ça ne viendrait pas des chmod
J'ai du désinstaller le dernier script stable de wanewsletter (la 2.3.4) car d'après eux 7 pages étaient faillibles... oscommerce n'en a que deux, ouf! Ils m'ont demandé de faire des comparaisons avec mes pages originales et les pages en 'ligne'; les fichiers n'ont pas été attaqués, ils sont identiques aux originaux, Toujours d'après eux, des script qui n'étaient pas vulnérables il y a 5 ans, peuvent l'être aujourd'hui et c'est du ressort du webmaster de les tenir à jour, ce que je comprends et approuve tout à fait, mais ils te laissent dans un flou.... leur moulinette ne donne bien entendu pas le n° de ligne incriminé, ne pourrait-ce pas être des connexions à la BDD? -------------------- - avec modération -
MS2 fr, ~35 contrib. |
|
30 Jan 2016, 19:27
Message
#4
|
|
Ceinture orange OSC Groupe : Membres Messages : 193 Inscrit : 2-September 05 Lieu : Dijon Membre no 6970 |
J'ai réussi à avoir un interlocuteur compréhensif, et après recherche cela viendrait de ${$class_method[0]} présent sur les deux fichiers que leur analyse n'aime pas.
J'ai commenté sur admin/configuration.php de la ligne 78 à 92 soit: Code if (tep_not_null($configuration['use_function'])) { $use_function = $configuration['use_function']; if (ereg('->', $use_function)) { $class_method = explode('->', $use_function); if (!is_object(${$class_method[0]})) { include(DIR_WS_CLASSES . $class_method[0] . '.php'); ${$class_method[0]} = new $class_method[0](); } $cfgValue = tep_call_function($class_method[1], $configuration['configuration_value'], ${$class_method[0]}); } else { $cfgValue = tep_call_function($use_function, $configuration['configuration_value']); } } else { $cfgValue = $configuration['configuration_value']; } et sur admin/modules.php de la ligne 236 à 246 soit Code $use_function = $value['use_function']; if (ereg('->', $use_function)) { $class_method = explode('->', $use_function); if (!is_object(${$class_method[0]})) { include(DIR_WS_CLASSES . $class_method[0] . '.php'); ${$class_method[0]} = new $class_method[0](); } $keys .= tep_call_function($class_method[1], $value['value'], ${$class_method[0]}); } else { $keys .= tep_call_function($use_function, $value['value']); } et visiblement les pages sont toujours opérationnelles, à quoi servent-elles? pensez-vous que le puisse supprimer ces lignes? car même commentées elles génèrent toujours des erreurs dans leur moulinette.. -------------------- - avec modération -
MS2 fr, ~35 contrib. |
|
1 Feb 2016, 10:32
Message
#5
|
|
Ceinture bleue OSC Groupe : Membres Messages : 912 Inscrit : 4-February 04 Membre no 1926 |
Bonjour,
Ces lignes de code ne servent visiblement que dans des cas particuliers de configuration de certaines contributions. Logiquement on doit pouvoir les virer. Cependant le mieux est encore de remplacer dans ces deux fichiers la ligne : Code if (ereg('->', $use_function)) { par la ligne : Code if (preg_match('/->/', $use_function)) { La fonction ereg est dépréciée et ne doit plus être utilisée. C'est peut-être sa présence qui cause problème (car sinon le code en lui même ne présente pas de risque pour autant que je puisse en juger). -------------------- L'indispensable est en cours de traitement,
L'urgent sera traité demain, Le normal sera traité plus tard, Le reste on vera ... En conclusion : les journées sont trop courtes. Utilisateur de MS2.2 Max 1.5 - OSC-Affiliate 1.09 - Admin With Access Levels 2.1 - Meta Tag Controller/ Generator - Credit/Gift Voucher/Coupons 5.05 - Download Controller v5.3 - X-Sell MS2 - WYSIWYG HTML Editor for Admin 1.7 - Dynamic Mo Pics - Loginbox Best - Order logging before payment processing - User Tracking - Faster Page Loads, Less DB queries - Plus plein de modifs perso :-) |
|
2 Feb 2016, 12:40
Message
#6
|
|
Ceinture orange OSC Groupe : Membres Messages : 193 Inscrit : 2-September 05 Lieu : Dijon Membre no 6970 |
Merci pour ton retour Havock, le problème Online est résolu
-------------------- - avec modération -
MS2 fr, ~35 contrib. |
|
Version bas débit | Nous sommes le : 28th March 2024 - 23:31 |
Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |