Mise a jour prestashop 1.7.6.6 ionos fichier /admin....../public/bundle.js faille de sécurité

[Fred64640]

Bonjour suite a la mise a jour de prestashop  en 1.7.6.6  sur 2 sites qui sont sur 2 serveurs différents Mon hébergeurs me dit qu il y a une faille de sécurité dans le fichier  /admin...../public/bundle.js cette faille est apparue dés la mise à jour es que quelqu'un a déjà eu le même problème et si oui comment il a pu y remédier.

Cordialement

Frédéric 

[pokerman]

Bonsoir, je viens de subir le même sort, tout était ok, 2 x boutiques en 1.7.6.5 sur le même serveur 

J'ai fait la mise à jour d'une boutique vers 1.7.6.7 ce soir, et mon hébergeur (ionos également) a détecté une faille sur le fichier /ADMINXXXX/public/bundle.js dans les 2 boutiques

Une faille a été détectée juste après la mise à jour avec 1-click upgrade

J'ai alors installé en local un Prestashop 1.7.6.5 vierge et comparé ce même fichier avec les 2 x autres, les 3  sont identiques, donc peut être un faux positif ???

Avez vous des infos ?

Edited July 6, 2020 by pokerman
correction orthographe (see edit history)

[Fred64640]

Bonjour  Pokerman pour moi oui c est un faux positif, j' ai contacter ionos pour leur signaler, ils doivent analyser le fichier en manuel ils pensent que c' est leur antivirus qui crée ce faux positif. Normalement je devrais avoir une réponse rapide le comble c est que ionos héberge prestashop en Click and build donc ils auront pas mal de souci. Je trouve étonnant que personne de l' équipe prestashop s' empare du problème au vu du partenariat avec Ionos.

Dés que ionos me répond je vous tiens au courant si vous voulez.

 

[pokerman]

@Fred64640 , oui  c'est quand même étonnant que Ionos ne communqiue pas dessus, j' espère que vous obtiendrez une réponse de leur part.
Ionos avait modifié les droits du fichier en 200, je les ai remodifié ce matin en 604 mais la sécurtité ionos les a remis en 200.
Si vous avez plus d'infos, pouvez-vous me tenir informé svp, bonne soirée

Edited July 7, 2020 by pokerman (see edit history)

[Fred64640]

Oui c est leur antivirus qui désactive les droits automatiquement dès que j' ai une réponse de leur part je vous tiens au courant. Bonne journée

 

[Aurélie41]

Bonjour

Idem de mon côté...Pouvez vous me tenir informé SVP car je stresse que mon Prestashop plante?

Et moi qui pensait que Ionos c'était la sécurité sociale...mdr

Merci à vous tous pour votre aide

Bonne journée

[pokerman]

Merci

[Fred64640]

2 hours ago, Aurélie41 said:

Bonjour

Idem de mon côté...Pouvez vous me tenir informé SVP car je stresse que mon Prestashop plante?

Et moi qui pensait que Ionos c'était la sécurité sociale...mdr

Merci à vous tous pour votre aide

Bonne journée

En faisant le tour des fonctionnalités je me suis aperçu que la connexion a la place d un client ne fonctionne plus  par exemple, après a voir si ça vient de là, mais il y a des chances,  ce fichier est sur l' admin donc je pense qu ils doit gérer certaines fonctionnalités au niveau de l' admin. Il faudrait regarder quand il est appelé.

Dés que j' ai des news de Ionos je vous tiendrai au courant mais ils ne sont pas pressé

[pokerman]

Je viens de recevoir un email de ionos suite à ma réponse par email lors de la détection et ils m'affirment que la détection a été corrigée. 

J'ai donc changer les droits du fichier bundle.js en 604 (qui étaient bloqués à 200 par l'antivirus ionos) , mais je ne suis pas certain que ce soit bien 604 par défaut à confirmer. 

Cependant, je pense que c'est rentré dans l' ordre , à suivre ... 

Si vous avez plus d'informations, je suis preneur, bonne journée à tous

[Fred64640]

1 hour ago, pokerman said:

Je viens de recevoir un email de ionos suite à ma réponse par email lors de la détection et ils m'affirment que la détection a été corrigée. 

J'ai donc changer les droits du fichier bundle.js en 604 (qui étaient bloqués à 200 par l'antivirus ionos) , mais je ne suis pas certain que ce soit bien 604 par défaut à confirmer. 

Cependant, je pense que c'est rentré dans l' ordre , à suivre ... 

Si vous avez plus d'informations, je suis preneur, bonne journée à tous

Bonjour, le fichier reste bien en 604 ou 644 au choix par contre je viens de m' apercevoir que lors de la creation de commande depuis le back office la connexion a la place du client ne marchait toujours pas es que vous pouvez voir si de votre coté çela marche pour que je sache si c est un bug de mon site ou si cela viens du fichier qui bloque encore

Merci

Frédéric

[pokerman]

Je viens de tester sur une boutique en 1.7.6.5 non mise à jour et tout fonctionne, (commande back office , commande front office)

Cependant, as tu essayé de passer en 1.7.6.7 ? car j'ai entendu dire que la 1.7.6.6 avait un bug (à vérifier)

 

[Fred64640]

2 minutes ago, pokerman said:

Je viens de tester sur une boutique en 1.7.6.5 non mise à jour et tout fonctionne, (commande back office , commande front office)

Cependant, as tu essayé de passer en 1.7.6.7 ? car j'ai entendu dire que la 1.7.6.6 avait un bug (à vérifier)

 

sur la 1.7.6.5 je n' avait pas de souci par contre des la mise a jour que ce soit en 1.7.6.6 ou 1.7.6.7 le bug apparaît.

[pokerman]

J'ai testé sur un 1.7.6.7

commande via back office OK

commande via front office OK

Je ne vois pas du tout, anciennement sur magento, je débute sur prestashop, 

peut être le thème , ou voir si un module bloque 

 

[Fred64640]

1 hour ago, pokerman said:

J'ai testé sur un 1.7.6.7

commande via back office OK

commande via front office OK

Je ne vois pas du tout, anciennement sur magento, je débute sur prestashop, 

peut être le thème , ou voir si un module bloque 

 

J'arrive à creer une commande du back office mais pas à me connecter a la place du client bizarre 

[pokerman]

Je n'avais pas compris le problème, en fait j'ai crée un client et une commande avec le backoffice

ensuite sur le front office, je me suis connecté en tant que client et j'ai pu voir la commande et les infos clients

ça fonctionne chez moi sous 1.7.6.7

[Fred64640]

13 hours ago, pokerman said:

Je n'avais pas compris le problème, en fait j'ai crée un client et une commande avec le backoffice

ensuite sur le front office, je me suis connecté en tant que client et j'ai pu voir la commande et les infos clients

ça fonctionne chez moi sous 1.7.6.7

je vais regarder ça d un peu plus prés merci 

[pokerman]

Ok, cela m'interresse, pouvez-vous me tenir informé si vous trouvez la solution ça m'intéresse , bonne journée

[Fred64640]

4 minutes ago, pokerman said:

Ok, cela m'interresse, pouvez-vous me tenir informé si vous trouvez la solution ça m'intéresse , bonne journée

Normalement la fonction entouré en rouge est censée nous connecter directement a la place du client sans rentré de mot de passe et la c' est pas le cas.

[Keltabann]

Le 09/07/2020 à 9:32 AM, pokerman a dit :

Je viens de recevoir un email de ionos suite à ma réponse par email lors de la détection et ils m'affirment que la détection a été corrigée. 

J'ai donc changer les droits du fichier bundle.js en 604 (qui étaient bloqués à 200 par l'antivirus ionos) , mais je ne suis pas certain que ce soit bien 604 par défaut à confirmer. 

Cependant, je pense que c'est rentré dans l' ordre , à suivre ... 

Si vous avez plus d'informations, je suis preneur, bonne journée à tous

J'ai eu aussi l'alerte de sécurité sur mes deux boutiques.

Visiblement, après vérifications, le fichier bundle.js est revenu en 604 sans que je le fasse manuellement.

Pour moi tout est OK.