osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> [faille de sécurité] afficher tous les prix à zéro
djebaz
posté 16 Feb 2006, 18:02
Message #1


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 250
Inscrit : 7-January 04
Membre no 1806



Il existe une faille qui permet d'afficher tous les prix à zéro. Et donc de payer zéro.

Par contre, oui, encore faut-il se faire livrer... Mais ca peut poser de serieux problèmes à ceux qui vendraient de l'immateriel (des produits téléchargeables).

Pour l'exploit... [edit modération faille masquée]


c'est un probleme de controle de la casse, pour patcher, il faut passer le champs code dans la table currency en binaire.

Djé
Go to the top of the page
 
thematrixisme
posté 16 Feb 2006, 18:10
Message #2


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1514
Inscrit : 3-August 04
Lieu : Brussels, Belgium
Membre no 2988



perso chez moi ca marche pas... sad.gif

et j'ai essayé chez oneil (LA référence biggrin.gif ) ca marche pas non plus tongue.gif


--------------------
Construisons l'avenir ensemble
Go to the top of the page
 
djebaz
posté 16 Feb 2006, 18:46
Message #3


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 250
Inscrit : 7-January 04
Membre no 1806



Tant mieux si ca marche pas chez toi smile.gif

c'est un problème lié à mysql donc ca dépend peut etre de la config serveur

Djé
Go to the top of the page
 
oneill
posté 16 Feb 2006, 19:51
Message #4


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773



La solution à l'exploit que Djé suggère est en clair celle la :
CODE
alter table currencies modify code char(3) binary not null default '';
à appliquer à sa base.


--------------------
Go to the top of the page
 
djebaz
posté 16 Feb 2006, 21:10
Message #5


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 250
Inscrit : 7-January 04
Membre no 1806



Oui, vous avez raison de modérer... On se demande toujours comment diffuser les problèmes de failles... Si on l'annonce pas, c'est pas bien mais si on l'annonce c'est pas terrible non plus...

Le mieux est que vous fassiez une grosse annonce bien visible, non ?

Enfin, bref, le risque de toutes facons c'est surtout pour ceux qui vendent du téléchargeable, ca doit être très rare chez les ecommerçant oscommerce...

Djé
Go to the top of the page
 
oneill
posté 16 Feb 2006, 21:25
Message #6


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773



C'est vrai que c'est un problème vieux déjà de quelques mois et tu n'as fait que le mettre en avant. Nous réfléchissons à la meilleure méthode à adopter face à cela, histoire de ne pas se retrouver tous demain avec des commandes fictives qu'on auraient à trier. On a tous de meilleures choses à faire.


--------------------
Go to the top of the page
 
xaglo
posté 16 Feb 2006, 22:09
Message #7


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



problème sorti du forum blabla et remis à sa place

merci à djebaz pour l'alerte


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
djebaz
posté 17 Feb 2006, 00:23
Message #8


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 250
Inscrit : 7-January 04
Membre no 1806



Dur à suivre le changement de catégorie dans le forum (les sujets font des aller-retour).

Cette faille existe depuis super longtemps et est publique depuis juillet 2005. En fait, je croyais que tout le monde la connaissait. Et puis, en voyant le message sur le forum, ca me l'a rappellée.

Djé
Go to the top of the page
 
oneill
posté 17 Feb 2006, 09:31
Message #9


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773



Tu as très bien fait de nous y faire penser

Cet exploit date au moins du mois de juin 2005 et est passé quasi inapercu.
C'est maintenant une affaire classée.


--------------------
Go to the top of the page
 
Him
posté 20 Feb 2006, 15:13
Message #10


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 924
Inscrit : 11-October 05
Lieu : Brux'Hell
Membre no 7419



ok ok, c'est bien d'avoir modéré...
Mais comment savoir si le bug est actif sur notre boutique ?

biggrin.gif


--------------------
» HimSelf : 24 ans, Bruxelles !

Les logiciels c'est comme le sexe, c'est mieux quand c'est gratuit
# Never trust user inputs
© Liber Dziit
Go to the top of the page
 
xaglo
posté 20 Feb 2006, 16:54
Message #11


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



applique la correction, tu sera sûr que ce ne sera plus possible


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
helleina
posté 25 Mar 2006, 14:12
Message #12


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 6
Inscrit : 25-March 06
Membre no 9616



Excusez moi de cette question de noob, mais comment fait on pour l'appliquer sur notre base ? merci
Go to the top of the page
 
xaglo
posté 25 Mar 2006, 14:19
Message #13


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



il suffit d'appliquer la requète SQL donnée plus haut:
CODE
alter table currencies modify code char(3) binary not null default '';

Tu peux, par exemple, simplement utiliser phpmyadmin:
- sélectionner la base de donnée
- clic sur l'onglet "SQL"
- copier / coller la requète
- clic sur Exécuter


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
helleina
posté 25 Mar 2006, 14:29
Message #14


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 6
Inscrit : 25-March 06
Membre no 9616



merci !

Je l'ai fait c'est bon, par contre jai cliqué sur "precedente" pour me retrouver à la page d'avant, et je me suis inquiété du fait que ca aurais pu modifier ce que je venais de faire, alors j'ai recliqué sur suivante pour me retrouver à la page de base.

Ca ne posera pas de probleme ? la requete a été prise en compte ? elle n'a pas été prise en compte 2 fois (oui je crois que le temps affiché quand jai cliqué sur suivante n'etait pas le meme que la premiere fois, jai donc un doute sur le fait qu'il l'aurais fait deux fois ) et si oui cela pose t'il un probleme ?

Je sais que ca peut parraitre idiot, mais je n'ai pas envie de laisser quelque chose au hasard, et mon apprentissage du php se fait petit à petit...
Go to the top of the page
 
xaglo
posté 25 Mar 2006, 14:32
Message #15


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



pas de problème. Quand bien même tu appliquerais le patch plusieurs fois, cela ne posera pas de soucis


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
joneil
posté 19 May 2006, 10:42
Message #16


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 16
Inscrit : 19-May 06
Lieu : lens
Membre no 10451



Bonjour,
Je suis entrain d'installer osCommerce chez un client et j'aimerai en savoir plus en ce qui concerne cette faille.
Je veux bien appliquer ce patch mais j'aimerai en savoir d'avantage afin de ne pas appliquer ce correctif les yeux fermés ...
Vous parlez que ce n'est pas génant pour les commercant vendant des produits "materiel" mais si le client paye par carte bleue au contraire c'est tres genant car le vendeur devra accepter la vente !!! Dans le cas d'un paiement a la livraison je veux bien mais pas dans les autres cas !
merci d'avance,
john
Go to the top of the page
 
xaglo
posté 19 May 2006, 12:26
Message #17


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



je ne comprend pas bien la question…

la faille n'est pas expliquée ici tout simplement pour éviter qu'elle ne soit trop facilement accessible aux petits rigolos qui seraient tentés de l'utiliser sur les boutiques non patchées. D'apliquer le patch suffit à s'en prémunir.

Sur le risque encouru par une boutique non corrigée, le risque est réell pour une boutique proposant des articles en téléchargement. Pour les boutiques vendant des articles physiques, rien ne t'empêche de refuser une vente ne contenant que des frais de port en règlement et de rembouser le client de ces frais. Le seul rique reste celui d'un procès que le client pourrait tenter… ça ne me semble pas critique rolleyes.gif

Il suffit de patcher
CODE
alter table currencies modify code char(3) binary not null default '';
et la question ne se pose plus


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
ben6tm
posté 21 Sep 2006, 17:34
Message #18


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 9
Inscrit : 29-March 06
Membre no 9682



bonjour,

Pourriez vous au moins montrer à quoi doit ressembler la structure de la table après ce patch? J'ai executé la requete SQL, mais j'ai l'impression que celà n'a absolument rien changé au niveau de la table.....

Comment enlever ce doute? puisque je ne sais pas comment tester cette faille...
merci

Ben
Go to the top of the page
 
fissiaux
posté 21 Sep 2006, 19:43
Message #19


5eme dan OSC
Icône de groupe

Groupe : Membres
Messages : 17048
Inscrit : 26-November 03
Lieu : Chez moi
Membre no 1669



Tu ré-éxécutes le alter et si phpmyadmin te dit OK, c'est que c'est bon.


Merci à ceux qui savent de ne pas donner les conseils pour tester la faille. Ce genre de renseignements laissés dans un forum pourrait causer des désagréments à ceux qui n'ont pas installés le patch.
Go to the top of the page
 
ben6tm
posté 21 Sep 2006, 20:03
Message #20


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 9
Inscrit : 29-March 06
Membre no 9682



je ne vois pas le risque de dire comment la base doit se présenter après le alter....... çà permettrai d'etre sûr, là je suis pas sûr puisqu'on m'a dit que mon site avait une faille, et que après le patch, la base est identique....
Heureusement qu'il s'agissait d'un visiteur honete, mais j'aimerai bien avoir la certitude de la sécurité, avant qu'une autre personne s'en rende compte..
Merci pour votre compréhension
Go to the top of the page
 
Gnidhal
posté 21 Sep 2006, 20:13
Message #21


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9221
Inscrit : 4-March 03
Lieu : Pau
Membre no 927



La ténacité est une vertue, mais l'entêtement ça tutoie parfois la bêtise.

Si on te dit ici que c'est bon, c'est bon.
Si tu veux savoir pourquoi c'est bon, tu te cultives sur la structure de la base avant (recherche dans anciens packs archives) tu regardes ce que ce patch peut faire par rapport à la structure d'une table avant.

Et il n'est point nécessaire d'insister. Les raisons de notre confidentialité sont expliquées assez grassement.
Toute insistance sera prise pour un Troll. Et moi je chasse les "Trolls", je les efface, je les dézingue, je les pulvérise... ! Capice ?


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
ben6tm
posté 21 Sep 2006, 21:18
Message #22


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 9
Inscrit : 29-March 06
Membre no 9682



suuuuuuper merci beaucoup
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 18:03
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)