[RESOLU] MAJ 1.6.1.23 vers 1.6.1.24 : erreur Mcrypt Rijndael

[numismativy]

Bonjour, en mettant à jour j'ai l'erreur suivante (voir image).

que faire?

merci

Edited May 5, 2019 by numismativy
RESOLU (see edit history)

[Janett]

Dans le BO > Paramètres avancés > Performances vérifier que le réglage chiffrement est sur Utiliser Rijndael avec la librairie mcrypt

Pour Use of undefined constant MCRYPT_RIJNDAEL_128 : https://shop.devcustom.net/gen.php

Votre version PHP est trop récente, utilisez PHP 7.1 maximum avec la 1.6.1.24 : https://devdocs.prestashop.com/1.7/basics/installation/system-requirements/

Edited May 5, 2019 by Janett (see edit history)

[numismativy]

j'ai vu qu'il y a une option (bulle à cocher), mais il est écrit qu'on doit installer l'extension Mcrypt, hors je suis en mutualisé et je ne peux pas installer ça sur mon serveur.

 

si je coche pour tester et si c'est pire, comment je fais pour enlever cette option (car c'est pas une case à cocher mais une bulle et on peut pas l'enlever)

[Janett]

En fait sur 1.6 vous n'avez pas le choix, vous êtes obligé d'utiliser cette option... C'est la seule disponible.

[numismativy]

maintenant j'ai ce message : " L'extension PHP Mcrypt n'est pas activée sur ce serveur. "

 

normal elle n'a jamais été installée et je ne peux pas le faire en mutualisé ! pourquoi avant ça marchait?

[Janett]

C'est du à votre version de PHP trop récente, utilisez PHP 7.1 maximum avec la 1.6.1.24 : https://devdocs.prestashop.com/1.7/basics/installation/system-requirements/

Version de PHP recommandée 5.6 (Pour Prestashop 1.6.1.24)

Edited May 5, 2019 by Janett (see edit history)

[Eolia]

MyCrypt n'existe plus en PHP7.2

[numismativy]

harff, bon je tente de repasser en 7.1.x ... je vous tiens au courant.

[Eolia]

Mais openssl_encrypt ne doit pas non plus être activé sur votre serveur (et là c'est plus bizarre) car normalement cette option est prise en premier:

 

[Janett]

Quel est votre hébergeur ?

La configuration parait assez limitée, une limite de mémoire à 256M c'est un peu juste sur Prestashop, ça fonctionne mais avec quelques modules ça peut vite être un problème.

[numismativy]

8 minutes ago, Eolia said:

openssl_encrypt ne doit pas non plus être activé sur votre serveur

à prioris SI, mais là je viens de repasser en php7.1 (dans la 7.2 je n'ai pas vérifié)

 

[numismativy]

1 minute ago, Janett said:

Quel est votre hébergeur ?

La configuration parait assez limitée, une limite de mémoire à 256M c'est un peu juste sur Prestashop, ça fonctionne mais avec quelques modules ça peut vite être un problème.

Oui, c'est du mutualisé  😞 mais jusque là ça tourne (avec prestashop, forum phpBB + phpMynewsletter2 + site html)

 

bon j'ai pas 5000 visites par jour non plus!

[Eolia]

oui ben même en PHP 7.2 il sera là, c'est devenu le standard.

Avez-vous commencé par faire ça : https://shop.devcustom.net/gen.php ?

[numismativy]

non je ne sais pas ce que c'est , ça fait des années que PS est installé et ça tourne... jamais entendu parlé de ce générateur, et je suis passé par toutes les MAJ .20.21.22.23 sans soucis/

[Janett]

Le problème là ce n'est pas Prestashop mais votre version de PHP qui a été modifiée et qui n'est plus compatible avec votre version de Prestashop.

[numismativy]

oui j'ai compris, je suis repassé en 7.1 il y a qq minutes...

[Eolia]

il y a 1 minute, numismativy a dit :

non je ne sais pas ce que c'est , ça fait des années que PS est installé et ça tourne... jamais entendu parlé de ce générateur, et je suis passé par toutes les MAJ .20.21.22.23 sans soucis/

Ben nous on sait^^

Alors je vous explique pour que vous compreniez.

Depuis la 1.6.1.20 Prestashop force l'utilisation de la RINDJAEL_KEY sauf qu'ils ont oublié que certains étaient en mode Blowfish.

Résultat, en php5.6 c'était une notice (et donc vous n'avez rien vu) mais en PHP7 c'est une fatal error donc ça plante.

Alors faites ce qu'on vous dit et ça fonctionnera.

 

(Ne croyez pas qu'on perd notre temps ici pour le plaisir de discuter hein^^)

[Janett]

Ouvrez votre fichier /config/settings.inc.php

Vérifiez si vous avez des lignes qui commencent par

define('_RIJNDAEL_KEY_'

et

define('_RIJNDAEL_IV_'

à l'intérieur, sinon ajoutez les grâce à https://shop.devcustom.net/gen.php

[Eolia]

Ben tout est expliqué sur cette page, il suffit de lire, c'est un minimum...

[numismativy]

apparement je suis en blowfish : c'est ça?

[Eolia]

Vous lisez nos réponses ou pas ???

[Janett]

Blowfish n'est plus disponible depuis Prestashop 1.6.1.20 !

Maintenant que mcrypt est activé :

44 minutes ago, Janett said:

Dans le BO > Paramètres avancés > Performances vérifier que le réglage chiffrement est sur Utiliser Rijndael avec la librairie mcrypt

De plus, vérifiez et confirmez nous ceci :

9 minutes ago, Janett said:

Ouvrez votre fichier /config/settings.inc.php

Vérifiez si vous avez des lignes qui commencent par

define('_RIJNDAEL_KEY_'

et

define('_RIJNDAEL_IV_'

à l'intérieur, sinon ajoutez les grâce à https://shop.devcustom.net/gen.php

Merci !

[Eolia]

En 1.6.1.23 l'option n'est plus modifiable et forcée sur Rindjael justement^^

[numismativy]

23 minutes ago, Janett said:

Vous lisez nos réponses ou pas ???

Blowfish n'est plus disponible depuis Prestashop 1.6.1.20 !

je parlais de mon serveur pas de prestashop !!

 

vous énervez pas, je suis PAS informaticien !

 

je me pose des questions, car justement quand JE LIS

" Pour corriger une potentielle faille de sécurité par vol de cookie, Prestashop a forcé l'utilisation de Mcrypt dans leur encodage depuis la dernière mise à jour (1.6.1.20).
- Souci n° 1: Mcrypt doit être activé sur votre serveur
- Souci n° 2: Si vous utilisiez avant le système blowfish, Prestashop a juste oublié de transformer vos clés et ne vous permet plus de le faire vous-même vu qu'il a supprimé cette option dans le BO... "

je trouve ça louche, certes il y a eu un oubli dans la version .20 mais je suis en .23 (j'aurais imaginé que le soucis aurait été réglé depuis et que ça se fasse automatiquement depuis l'interface...là on me donne un lien ext (qui ne commence pas par le site officiel https://www.prestashop.com ) qui génère un code censé corriger une faille de sécu et l'insérer à la main dans le code source, alors pardonnez moi de me poser des questions concernant la sécu!

bref, j'imagine bien que si votre lien était un attrape nigo quelqu'un serait intervenu sur ce forum officiel, et j'ai bien compris que vous essayez de m'aider, mais laisser moi le temps d'assimiler svp... de plus le presta en en train de se mettre à jour alors je ne peux rien modifier pendant ce temps là, donc je cherche à comprendre en attendant.

 

Edited May 5, 2019 by numismativy (see edit history)

[Eolia]

devcustom.net c'est mon site et effectivement si je fournissais un code dangereux ca se saurait.

Quand à Prestashop qui n'a rien fait et trouve ça normal, je vous laisse en tirer les conclusions que vous voulez.

Ne me parlez pas de sécurité quand vous modifiez des versions PHP sans en comprendre les conséquences svp.

A présent vous avez toutes les infos, faites comme il vous plaira.

[numismativy]

2 minutes ago, Eolia said:

Ne me parlez pas de sécurité quand vous modifiez des versions PHP sans en comprendre les conséquences svp

mon hébergeur m'a envoyé en mail il y a qq mois pour m'inciter à passer au 7.2 qui était recommandé, donc je pensais que niveau sécu c'était mieux, mais comme dit juste avant je ne suis pas informaticien, mais j'écoute les conseils et je vais tenter d'appliquer les modif que vous me conseillez. d'ailleurs l'interet d'un CMS c'est bien de pouvoir l'utiliser sans être développeur ni trop toucher au code...

[Eolia]

Votre hébergeur ne voit qu'une seule chose: simplifier sa gestion client en ne soutenant qu'un minimum de versions et en économisant les perfs de ses machines.

Il n'a aucune connaissance php concernant les logiciels utilisés, ni comment, ni par qui, ni pourquoi. Il s'en fiche royalement d'ailleurs, tout ce qui compte c'est que ses serveurs tiennent la route, point barre.

Personne ne s'est vraiment occupé des versions php qui n'ont pas bougé pendant 10 ans vu que la PHP 6 était en stand by. Lorsque Facebook a sorti sa propre version php, ca a réveillé tout le monde et PHP a abandonné la 6 pour sortir la 7 vite fait (la version 7.0 était une cata pleine de bugs) mais comme elle était annoncée comme 30% plus rapide, tous les hébergeurs peu soucieux de leurs clients se sont jetés dessus. et la 7.1, la 7.2, la 7.3 dans 6 mois.

Sauf que ces versions sont de moins en moins permissives (le plus gros reproche qui était fait à PHP) et entraînent des plantages sur les codes pas à jour. Prestashop a mis du temps à réagir mais les modules tiers c'est encore pire^^

Pas sur que tout le monde suive dans cette course à la surenchère alors qu'une 1.6 en php 5.6 fonctionne tout à fait correctement.

Et d'ailleurs, pour info, le dernier patch de sécurité en date de la 5.6 date de janvier 2019 (appliqué également sur PHP 7) https://www.php.net/ChangeLog-5.php#5.6.40

[numismativy]

alors voilà :

MAJ faites sans avoir à cocher le " Rijndael", ensuite je l'ai coché car vous m'avez dit de le faire, pas de soucis.

ensuite j'ai vérifié le fichier " /config/settings.inc.php"

et les 2 dernières lignes concerne bien

define('_RIJNDAEL_KEY_'

et

define('_RIJNDAEL_IV_'

 

avec les suites de chiffres renseignées.

 

donc maintenant je suis à jour, et sécurisé.

 

Merci donc à tous les 2 me m'avoir aidé ;-))

 

et si j'ai bien compris si je veux mettre php7.2 va falloir passer à PS 1.7 (mais bon quand je vois le nombre de soucis remonté je vais attendre encore un peu que ça soit plus stable en espérant que la maj en 1 clic soit encore compatible...

je passe en résolu.