osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> [Résolu] faille sur admin/configuration et modules de la version MS2fr?
buvezduvin
posté 29 Jan 2016, 19:05
Message #1


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 193
Inscrit : 2-September 05
Lieu : Dijon
Membre no 6970



Bonjour à tous,
Je suis hébergé chez Online, et ils passent de manière aléatoire leurs hébergés à la moulinette pour savoir si leurs script ne contiennent pas des failles de sécurité.
D'après eux les fichiers admin/configuration et admin/modules ont une/des faille(s) mais ils n'en disent pas plus.
Mon dossier admin est renommé et protégé par un .htaccess
Avez-vous une idée? Je sais que je n'ai pas la dernière version d'oscommerce mais si il y avait juste des lignes à éditer..

Ce message a été modifié par buvezduvin - 2 Feb 2016, 12:40.


--------------------
- avec modération -
MS2 fr, ~35 contrib.
Go to the top of the page
 
Bonbec
posté 30 Jan 2016, 07:24
Message #2


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1323
Inscrit : 30-May 06
Lieu : Vichy (03)
Membre no 10583



Bonjour,

Tu as très bien fait de renommer ton admin et d'avoir un .htaccess en plus.
Tu peux aussi supprimer le fichier file_manager.php dont l'utilisation est déconseillée.

Le seul point souvent négligé par les utilisateurs de boutiques d'e-commerce est le chmod de certains fichiers.
Pour OsCommerce, c'est ici :
http://www.oscommerce-fr.info/faq/qa_info.php?qID=126
Peut-être est cela leur "faille" ?
Mais je vois que depuis que je les ai quitté pour mon plus grand bien (j'étais en mutualisé), ils n'ont pas changé leur mode de communication ....


--------------------
Config 1 en live : Osc 2.2 très fortement modifié ... UTF-8 et Php 5.4.
Contribs installées : down_for_maintenance_v 2.3 | Estimated Shipping v1.5 | imprint_1_3_5 | low_stock_report_v2.04 | visible_countries_1.2b | Products Tabs | shoppingCart_cleanup_v1.01.0 | + trop de bidouilles persos pas très OsCommerce (erreurs de jeunesse)
Config 2 en local avec UwAmp : Osc 2.3.4 BS
Go to the top of the page
 
buvezduvin
posté 30 Jan 2016, 09:35
Message #3


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 193
Inscrit : 2-September 05
Lieu : Dijon
Membre no 6970



Bonjour Bonbec et merci pour tes infos, visiblement ça ne viendrait pas des chmod
J'ai du désinstaller le dernier script stable de wanewsletter (la 2.3.4) car d'après eux 7 pages étaient faillibles...
oscommerce n'en a que deux, ouf!
Ils m'ont demandé de faire des comparaisons avec mes pages originales et les pages en 'ligne'; les fichiers n'ont pas été attaqués, ils sont identiques aux originaux,
Toujours d'après eux, des script qui n'étaient pas vulnérables il y a 5 ans, peuvent l'être aujourd'hui et c'est du ressort du webmaster de les tenir à jour, ce que je comprends et approuve tout à fait, mais ils te laissent dans un flou....
leur moulinette ne donne bien entendu pas le n° de ligne incriminé, ne pourrait-ce pas être des connexions à la BDD?


--------------------
- avec modération -
MS2 fr, ~35 contrib.
Go to the top of the page
 
buvezduvin
posté 30 Jan 2016, 19:27
Message #4


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 193
Inscrit : 2-September 05
Lieu : Dijon
Membre no 6970



J'ai réussi à avoir un interlocuteur compréhensif, et après recherche cela viendrait de ${$class_method[0]} présent sur les deux fichiers que leur analyse n'aime pas.
J'ai commenté sur admin/configuration.php de la ligne 78 à 92 soit:
Code
if (tep_not_null($configuration['use_function'])) {
      $use_function = $configuration['use_function'];
      if (ereg('->', $use_function)) {
        $class_method = explode('->', $use_function);
        if (!is_object(${$class_method[0]})) {
          include(DIR_WS_CLASSES . $class_method[0] . '.php');
          ${$class_method[0]} = new $class_method[0]();
        }
        $cfgValue = tep_call_function($class_method[1], $configuration['configuration_value'], ${$class_method[0]});
      } else {
        $cfgValue = tep_call_function($use_function, $configuration['configuration_value']);
      }
    } else {
      $cfgValue = $configuration['configuration_value'];
    }


et sur admin/modules.php de la ligne 236 à 246 soit
Code
        $use_function = $value['use_function'];
            if (ereg('->', $use_function)) {
              $class_method = explode('->', $use_function);
              if (!is_object(${$class_method[0]})) {
                include(DIR_WS_CLASSES . $class_method[0] . '.php');
                ${$class_method[0]} = new $class_method[0]();
              }
              $keys .= tep_call_function($class_method[1], $value['value'], ${$class_method[0]});
            } else {
              $keys .= tep_call_function($use_function, $value['value']);
            }



et visiblement les pages sont toujours opérationnelles, à quoi servent-elles? pensez-vous que le puisse supprimer ces lignes? car même commentées elles génèrent toujours des erreurs dans leur moulinette..


--------------------
- avec modération -
MS2 fr, ~35 contrib.
Go to the top of the page
 
Havock
posté 1 Feb 2016, 10:32
Message #5


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 894
Inscrit : 4-February 04
Membre no 1926



Bonjour,

Ces lignes de code ne servent visiblement que dans des cas particuliers de configuration de certaines contributions. Logiquement on doit pouvoir les virer.

Cependant le mieux est encore de remplacer dans ces deux fichiers la ligne :

Code
if (ereg('->', $use_function)) {


par la ligne :

Code
if (preg_match('/->/', $use_function)) {


La fonction ereg est dépréciée et ne doit plus être utilisée. C'est peut-être sa présence qui cause problème (car sinon le code en lui même ne présente pas de risque pour autant que je puisse en juger).


--------------------
L'indispensable est en cours de traitement,
L'urgent sera traité demain,
Le normal sera traité plus tard,
Le reste on vera ...
En conclusion : les journées sont trop courtes.
Utilisateur de MS2.2 Max 1.5 - OSC-Affiliate 1.09 - Admin With Access Levels 2.1 - Meta Tag Controller/ Generator - Credit/Gift Voucher/Coupons 5.05 - Download Controller v5.3 - X-Sell MS2 - WYSIWYG HTML Editor for Admin 1.7 - Dynamic Mo Pics - Loginbox Best - Order logging before payment processing - User Tracking - Faster Page Loads, Less DB queries - Plus plein de modifs perso :-)
Go to the top of the page
 
buvezduvin
posté 2 Feb 2016, 12:40
Message #6


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 193
Inscrit : 2-September 05
Lieu : Dijon
Membre no 6970



Merci pour ton retour Havock, le problème Online est résolu wink.gif


--------------------
- avec modération -
MS2 fr, ~35 contrib.
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 21st November 2017 - 16:29
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)