Il existe une faille qui permet d'afficher tous les prix à zéro. Et donc de payer zéro.
Par contre, oui, encore faut-il se faire livrer... Mais ca peut poser de serieux problèmes à ceux qui vendraient de l'immateriel (des produits téléchargeables).
Pour l'exploit... [edit modération faille masquée]
c'est un probleme de controle de la casse, pour patcher, il faut passer le champs code dans la table currency en binaire.
Djé
perso chez moi ca marche pas...
et j'ai essayé chez oneil (LA référence ) ca marche pas non plus
Tant mieux si ca marche pas chez toi
c'est un problème lié à mysql donc ca dépend peut etre de la config serveur
Djé
La solution à l'exploit que Djé suggère est en clair celle la :
Oui, vous avez raison de modérer... On se demande toujours comment diffuser les problèmes de failles... Si on l'annonce pas, c'est pas bien mais si on l'annonce c'est pas terrible non plus...
Le mieux est que vous fassiez une grosse annonce bien visible, non ?
Enfin, bref, le risque de toutes facons c'est surtout pour ceux qui vendent du téléchargeable, ca doit être très rare chez les ecommerçant oscommerce...
Djé
C'est vrai que c'est un problème vieux déjà de quelques mois et tu n'as fait que le mettre en avant. Nous réfléchissons à la meilleure méthode à adopter face à cela, histoire de ne pas se retrouver tous demain avec des commandes fictives qu'on auraient à trier. On a tous de meilleures choses à faire.
problème sorti du forum blabla et remis à sa place
merci à djebaz pour l'alerte
Dur à suivre le changement de catégorie dans le forum (les sujets font des aller-retour).
Cette faille existe depuis super longtemps et est publique depuis juillet 2005. En fait, je croyais que tout le monde la connaissait. Et puis, en voyant le message sur le forum, ca me l'a rappellée.
Djé
Tu as très bien fait de nous y faire penser
Cet exploit date au moins du mois de juin 2005 et est passé quasi inapercu.
C'est maintenant une affaire classée.
ok ok, c'est bien d'avoir modéré...
Mais comment savoir si le bug est actif sur notre boutique ?
applique la correction, tu sera sûr que ce ne sera plus possible
Excusez moi de cette question de noob, mais comment fait on pour l'appliquer sur notre base ? merci
il suffit d'appliquer la requète SQL donnée plus haut:
merci !
Je l'ai fait c'est bon, par contre jai cliqué sur "precedente" pour me retrouver à la page d'avant, et je me suis inquiété du fait que ca aurais pu modifier ce que je venais de faire, alors j'ai recliqué sur suivante pour me retrouver à la page de base.
Ca ne posera pas de probleme ? la requete a été prise en compte ? elle n'a pas été prise en compte 2 fois (oui je crois que le temps affiché quand jai cliqué sur suivante n'etait pas le meme que la premiere fois, jai donc un doute sur le fait qu'il l'aurais fait deux fois ) et si oui cela pose t'il un probleme ?
Je sais que ca peut parraitre idiot, mais je n'ai pas envie de laisser quelque chose au hasard, et mon apprentissage du php se fait petit à petit...
pas de problème. Quand bien même tu appliquerais le patch plusieurs fois, cela ne posera pas de soucis
Bonjour,
Je suis entrain d'installer osCommerce chez un client et j'aimerai en savoir plus en ce qui concerne cette faille.
Je veux bien appliquer ce patch mais j'aimerai en savoir d'avantage afin de ne pas appliquer ce correctif les yeux fermés ...
Vous parlez que ce n'est pas génant pour les commercant vendant des produits "materiel" mais si le client paye par carte bleue au contraire c'est tres genant car le vendeur devra accepter la vente !!! Dans le cas d'un paiement a la livraison je veux bien mais pas dans les autres cas !
merci d'avance,
john
je ne comprend pas bien la question…
la faille n'est pas expliquée ici tout simplement pour éviter qu'elle ne soit trop facilement accessible aux petits rigolos qui seraient tentés de l'utiliser sur les boutiques non patchées. D'apliquer le patch suffit à s'en prémunir.
Sur le risque encouru par une boutique non corrigée, le risque est réell pour une boutique proposant des articles en téléchargement. Pour les boutiques vendant des articles physiques, rien ne t'empêche de refuser une vente ne contenant que des frais de port en règlement et de rembouser le client de ces frais. Le seul rique reste celui d'un procès que le client pourrait tenter… ça ne me semble pas critique
Il suffit de patcher
bonjour,
Pourriez vous au moins montrer à quoi doit ressembler la structure de la table après ce patch? J'ai executé la requete SQL, mais j'ai l'impression que celà n'a absolument rien changé au niveau de la table.....
Comment enlever ce doute? puisque je ne sais pas comment tester cette faille...
merci
Ben
Tu ré-éxécutes le alter et si phpmyadmin te dit OK, c'est que c'est bon.
Merci à ceux qui savent de ne pas donner les conseils pour tester la faille. Ce genre de renseignements laissés dans un forum pourrait causer des désagréments à ceux qui n'ont pas installés le patch.
je ne vois pas le risque de dire comment la base doit se présenter après le alter....... çà permettrai d'etre sûr, là je suis pas sûr puisqu'on m'a dit que mon site avait une faille, et que après le patch, la base est identique....
Heureusement qu'il s'agissait d'un visiteur honete, mais j'aimerai bien avoir la certitude de la sécurité, avant qu'une autre personne s'en rende compte..
Merci pour votre compréhension
La ténacité est une vertue, mais l'entêtement ça tutoie parfois la bêtise.
Si on te dit ici que c'est bon, c'est bon.
Si tu veux savoir pourquoi c'est bon, tu te cultives sur la structure de la base avant (recherche dans anciens packs archives) tu regardes ce que ce patch peut faire par rapport à la structure d'une table avant.
Et il n'est point nécessaire d'insister. Les raisons de notre confidentialité sont expliquées assez grassement.
Toute insistance sera prise pour un Troll. Et moi je chasse les "Trolls", je les efface, je les dézingue, je les pulvérise... ! Capice ?
suuuuuuper merci beaucoup
Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)