Aide - Recherche - Membres - Calendrier
Version complète : [faille de sécurité] afficher tous les prix à zéro
Forum osCommerce-fr > Adapter OsCommerce MS2 > Sécurité - Mises à jour
djebaz
Il existe une faille qui permet d'afficher tous les prix à zéro. Et donc de payer zéro.

Par contre, oui, encore faut-il se faire livrer... Mais ca peut poser de serieux problèmes à ceux qui vendraient de l'immateriel (des produits téléchargeables).

Pour l'exploit... [edit modération faille masquée]


c'est un probleme de controle de la casse, pour patcher, il faut passer le champs code dans la table currency en binaire.

Djé
thematrixisme
perso chez moi ca marche pas... sad.gif

et j'ai essayé chez oneil (LA référence biggrin.gif ) ca marche pas non plus tongue.gif
djebaz
Tant mieux si ca marche pas chez toi smile.gif

c'est un problème lié à mysql donc ca dépend peut etre de la config serveur

Djé
oneill
La solution à l'exploit que Djé suggère est en clair celle la :
CODE
alter table currencies modify code char(3) binary not null default '';
à appliquer à sa base.
djebaz
Oui, vous avez raison de modérer... On se demande toujours comment diffuser les problèmes de failles... Si on l'annonce pas, c'est pas bien mais si on l'annonce c'est pas terrible non plus...

Le mieux est que vous fassiez une grosse annonce bien visible, non ?

Enfin, bref, le risque de toutes facons c'est surtout pour ceux qui vendent du téléchargeable, ca doit être très rare chez les ecommerçant oscommerce...

Djé
oneill
C'est vrai que c'est un problème vieux déjà de quelques mois et tu n'as fait que le mettre en avant. Nous réfléchissons à la meilleure méthode à adopter face à cela, histoire de ne pas se retrouver tous demain avec des commandes fictives qu'on auraient à trier. On a tous de meilleures choses à faire.
xaglo
problème sorti du forum blabla et remis à sa place

merci à djebaz pour l'alerte
djebaz
Dur à suivre le changement de catégorie dans le forum (les sujets font des aller-retour).

Cette faille existe depuis super longtemps et est publique depuis juillet 2005. En fait, je croyais que tout le monde la connaissait. Et puis, en voyant le message sur le forum, ca me l'a rappellée.

Djé
oneill
Tu as très bien fait de nous y faire penser

Cet exploit date au moins du mois de juin 2005 et est passé quasi inapercu.
C'est maintenant une affaire classée.
Him
ok ok, c'est bien d'avoir modéré...
Mais comment savoir si le bug est actif sur notre boutique ?

biggrin.gif
xaglo
applique la correction, tu sera sûr que ce ne sera plus possible
helleina
Excusez moi de cette question de noob, mais comment fait on pour l'appliquer sur notre base ? merci
xaglo
il suffit d'appliquer la requète SQL donnée plus haut:
CODE
alter table currencies modify code char(3) binary not null default '';

Tu peux, par exemple, simplement utiliser phpmyadmin:
- sélectionner la base de donnée
- clic sur l'onglet "SQL"
- copier / coller la requète
- clic sur Exécuter
helleina
merci !

Je l'ai fait c'est bon, par contre jai cliqué sur "precedente" pour me retrouver à la page d'avant, et je me suis inquiété du fait que ca aurais pu modifier ce que je venais de faire, alors j'ai recliqué sur suivante pour me retrouver à la page de base.

Ca ne posera pas de probleme ? la requete a été prise en compte ? elle n'a pas été prise en compte 2 fois (oui je crois que le temps affiché quand jai cliqué sur suivante n'etait pas le meme que la premiere fois, jai donc un doute sur le fait qu'il l'aurais fait deux fois ) et si oui cela pose t'il un probleme ?

Je sais que ca peut parraitre idiot, mais je n'ai pas envie de laisser quelque chose au hasard, et mon apprentissage du php se fait petit à petit...
xaglo
pas de problème. Quand bien même tu appliquerais le patch plusieurs fois, cela ne posera pas de soucis
joneil
Bonjour,
Je suis entrain d'installer osCommerce chez un client et j'aimerai en savoir plus en ce qui concerne cette faille.
Je veux bien appliquer ce patch mais j'aimerai en savoir d'avantage afin de ne pas appliquer ce correctif les yeux fermés ...
Vous parlez que ce n'est pas génant pour les commercant vendant des produits "materiel" mais si le client paye par carte bleue au contraire c'est tres genant car le vendeur devra accepter la vente !!! Dans le cas d'un paiement a la livraison je veux bien mais pas dans les autres cas !
merci d'avance,
john
xaglo
je ne comprend pas bien la question…

la faille n'est pas expliquée ici tout simplement pour éviter qu'elle ne soit trop facilement accessible aux petits rigolos qui seraient tentés de l'utiliser sur les boutiques non patchées. D'apliquer le patch suffit à s'en prémunir.

Sur le risque encouru par une boutique non corrigée, le risque est réell pour une boutique proposant des articles en téléchargement. Pour les boutiques vendant des articles physiques, rien ne t'empêche de refuser une vente ne contenant que des frais de port en règlement et de rembouser le client de ces frais. Le seul rique reste celui d'un procès que le client pourrait tenter… ça ne me semble pas critique rolleyes.gif

Il suffit de patcher
CODE
alter table currencies modify code char(3) binary not null default '';
et la question ne se pose plus
ben6tm
bonjour,

Pourriez vous au moins montrer à quoi doit ressembler la structure de la table après ce patch? J'ai executé la requete SQL, mais j'ai l'impression que celà n'a absolument rien changé au niveau de la table.....

Comment enlever ce doute? puisque je ne sais pas comment tester cette faille...
merci

Ben
fissiaux
Tu ré-éxécutes le alter et si phpmyadmin te dit OK, c'est que c'est bon.


Merci à ceux qui savent de ne pas donner les conseils pour tester la faille. Ce genre de renseignements laissés dans un forum pourrait causer des désagréments à ceux qui n'ont pas installés le patch.
ben6tm
je ne vois pas le risque de dire comment la base doit se présenter après le alter....... çà permettrai d'etre sûr, là je suis pas sûr puisqu'on m'a dit que mon site avait une faille, et que après le patch, la base est identique....
Heureusement qu'il s'agissait d'un visiteur honete, mais j'aimerai bien avoir la certitude de la sécurité, avant qu'une autre personne s'en rende compte..
Merci pour votre compréhension
Gnidhal
La ténacité est une vertue, mais l'entêtement ça tutoie parfois la bêtise.

Si on te dit ici que c'est bon, c'est bon.
Si tu veux savoir pourquoi c'est bon, tu te cultives sur la structure de la base avant (recherche dans anciens packs archives) tu regardes ce que ce patch peut faire par rapport à la structure d'une table avant.

Et il n'est point nécessaire d'insister. Les raisons de notre confidentialité sont expliquées assez grassement.
Toute insistance sera prise pour un Troll. Et moi je chasse les "Trolls", je les efface, je les dézingue, je les pulvérise... ! Capice ?
ben6tm
suuuuuuper merci beaucoup
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.
Invision Power Board © 2001-2022 Invision Power Services, Inc.