Version imprimable du sujet

Cliquez ici pour voir ce sujet dans son format original

Forum osCommerce-fr _ Sécurité - Mises à jour _ [faille de sécurité] afficher tous les prix à zéro

Écrit par : djebaz 16 Feb 2006, 18:02

Il existe une faille qui permet d'afficher tous les prix à zéro. Et donc de payer zéro.

Par contre, oui, encore faut-il se faire livrer... Mais ca peut poser de serieux problèmes à ceux qui vendraient de l'immateriel (des produits téléchargeables).

Pour l'exploit... [edit modération faille masquée]


c'est un probleme de controle de la casse, pour patcher, il faut passer le champs code dans la table currency en binaire.

Djé

Écrit par : thematrixisme 16 Feb 2006, 18:10

perso chez moi ca marche pas... sad.gif

et j'ai essayé chez oneil (LA référence biggrin.gif ) ca marche pas non plus tongue.gif

Écrit par : djebaz 16 Feb 2006, 18:46

Tant mieux si ca marche pas chez toi smile.gif

c'est un problème lié à mysql donc ca dépend peut etre de la config serveur

Djé

Écrit par : oneill 16 Feb 2006, 19:51

La solution à l'exploit que Djé suggère est en clair celle la :

CODE
alter table currencies modify code char(3) binary not null default '';
à appliquer à sa base.

Écrit par : djebaz 16 Feb 2006, 21:10

Oui, vous avez raison de modérer... On se demande toujours comment diffuser les problèmes de failles... Si on l'annonce pas, c'est pas bien mais si on l'annonce c'est pas terrible non plus...

Le mieux est que vous fassiez une grosse annonce bien visible, non ?

Enfin, bref, le risque de toutes facons c'est surtout pour ceux qui vendent du téléchargeable, ca doit être très rare chez les ecommerçant oscommerce...

Djé

Écrit par : oneill 16 Feb 2006, 21:25

C'est vrai que c'est un problème vieux déjà de quelques mois et tu n'as fait que le mettre en avant. Nous réfléchissons à la meilleure méthode à adopter face à cela, histoire de ne pas se retrouver tous demain avec des commandes fictives qu'on auraient à trier. On a tous de meilleures choses à faire.

Écrit par : xaglo 16 Feb 2006, 22:09

problème sorti du forum blabla et remis à sa place

merci à djebaz pour l'alerte

Écrit par : djebaz 17 Feb 2006, 00:23

Dur à suivre le changement de catégorie dans le forum (les sujets font des aller-retour).

Cette faille existe depuis super longtemps et est publique depuis juillet 2005. En fait, je croyais que tout le monde la connaissait. Et puis, en voyant le message sur le forum, ca me l'a rappellée.

Djé

Écrit par : oneill 17 Feb 2006, 09:31

Tu as très bien fait de nous y faire penser

Cet exploit date au moins du mois de juin 2005 et est passé quasi inapercu.
C'est maintenant une affaire classée.

Écrit par : Him 20 Feb 2006, 15:13

ok ok, c'est bien d'avoir modéré...
Mais comment savoir si le bug est actif sur notre boutique ?

biggrin.gif

Écrit par : xaglo 20 Feb 2006, 16:54

applique la correction, tu sera sûr que ce ne sera plus possible

Écrit par : helleina 25 Mar 2006, 14:12

Excusez moi de cette question de noob, mais comment fait on pour l'appliquer sur notre base ? merci

Écrit par : xaglo 25 Mar 2006, 14:19

il suffit d'appliquer la requète SQL donnée plus haut:

CODE
alter table currencies modify code char(3) binary not null default '';

Tu peux, par exemple, simplement utiliser phpmyadmin:
- sélectionner la base de donnée
- clic sur l'onglet "SQL"
- copier / coller la requète
- clic sur Exécuter

Écrit par : helleina 25 Mar 2006, 14:29

merci !

Je l'ai fait c'est bon, par contre jai cliqué sur "precedente" pour me retrouver à la page d'avant, et je me suis inquiété du fait que ca aurais pu modifier ce que je venais de faire, alors j'ai recliqué sur suivante pour me retrouver à la page de base.

Ca ne posera pas de probleme ? la requete a été prise en compte ? elle n'a pas été prise en compte 2 fois (oui je crois que le temps affiché quand jai cliqué sur suivante n'etait pas le meme que la premiere fois, jai donc un doute sur le fait qu'il l'aurais fait deux fois ) et si oui cela pose t'il un probleme ?

Je sais que ca peut parraitre idiot, mais je n'ai pas envie de laisser quelque chose au hasard, et mon apprentissage du php se fait petit à petit...

Écrit par : xaglo 25 Mar 2006, 14:32

pas de problème. Quand bien même tu appliquerais le patch plusieurs fois, cela ne posera pas de soucis

Écrit par : joneil 19 May 2006, 10:42

Bonjour,
Je suis entrain d'installer osCommerce chez un client et j'aimerai en savoir plus en ce qui concerne cette faille.
Je veux bien appliquer ce patch mais j'aimerai en savoir d'avantage afin de ne pas appliquer ce correctif les yeux fermés ...
Vous parlez que ce n'est pas génant pour les commercant vendant des produits "materiel" mais si le client paye par carte bleue au contraire c'est tres genant car le vendeur devra accepter la vente !!! Dans le cas d'un paiement a la livraison je veux bien mais pas dans les autres cas !
merci d'avance,
john

Écrit par : xaglo 19 May 2006, 12:26

je ne comprend pas bien la question…

la faille n'est pas expliquée ici tout simplement pour éviter qu'elle ne soit trop facilement accessible aux petits rigolos qui seraient tentés de l'utiliser sur les boutiques non patchées. D'apliquer le patch suffit à s'en prémunir.

Sur le risque encouru par une boutique non corrigée, le risque est réell pour une boutique proposant des articles en téléchargement. Pour les boutiques vendant des articles physiques, rien ne t'empêche de refuser une vente ne contenant que des frais de port en règlement et de rembouser le client de ces frais. Le seul rique reste celui d'un procès que le client pourrait tenter… ça ne me semble pas critique rolleyes.gif

Il suffit de patcher

CODE
alter table currencies modify code char(3) binary not null default '';
et la question ne se pose plus

Écrit par : ben6tm 21 Sep 2006, 17:34

bonjour,

Pourriez vous au moins montrer à quoi doit ressembler la structure de la table après ce patch? J'ai executé la requete SQL, mais j'ai l'impression que celà n'a absolument rien changé au niveau de la table.....

Comment enlever ce doute? puisque je ne sais pas comment tester cette faille...
merci

Ben

Écrit par : fissiaux 21 Sep 2006, 19:43

Tu ré-éxécutes le alter et si phpmyadmin te dit OK, c'est que c'est bon.


Merci à ceux qui savent de ne pas donner les conseils pour tester la faille. Ce genre de renseignements laissés dans un forum pourrait causer des désagréments à ceux qui n'ont pas installés le patch.

Écrit par : ben6tm 21 Sep 2006, 20:03

je ne vois pas le risque de dire comment la base doit se présenter après le alter....... çà permettrai d'etre sûr, là je suis pas sûr puisqu'on m'a dit que mon site avait une faille, et que après le patch, la base est identique....
Heureusement qu'il s'agissait d'un visiteur honete, mais j'aimerai bien avoir la certitude de la sécurité, avant qu'une autre personne s'en rende compte..
Merci pour votre compréhension

Écrit par : Gnidhal 21 Sep 2006, 20:13

La ténacité est une vertue, mais l'entêtement ça tutoie parfois la bêtise.

Si on te dit ici que c'est bon, c'est bon.
Si tu veux savoir pourquoi c'est bon, tu te cultives sur la structure de la base avant (recherche dans anciens packs archives) tu regardes ce que ce patch peut faire par rapport à la structure d'une table avant.

Et il n'est point nécessaire d'insister. Les raisons de notre confidentialité sont expliquées assez grassement.
Toute insistance sera prise pour un Troll. Et moi je chasse les "Trolls", je les efface, je les dézingue, je les pulvérise... ! Capice ?

Écrit par : ben6tm 21 Sep 2006, 21:18

suuuuuuper merci beaucoup

Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)