Problème de sécurité bases de données 1.0.13 FR

Informations concernant la sécurité de son site Joomla! 1.0.x

Moderators: Aidan38, sarki

Forum rules
Règles du forum
Locked
TaninoDoe
Joomla! Fledgling
Joomla! Fledgling
Posts: 4
Joined: Mon Mar 03, 2008 12:33 pm

Problème de sécurité bases de données 1.0.13 FR

Post by TaninoDoe » Mon Mar 03, 2008 1:33 pm

Bonjour à toute la Communauté,

Je commencerai ce 1er message par un remerciement. D'une part, à ceux qui parlent de leurs problèmes, d'autre part, surtout, à ceux qui apportent leur support. En effet, cela fait plusieurs mois qu'il me suffit généralement de surfer sur ce forum pour trouver les solutions aux petits pépins que l'on peut rencontrer avec Joomla quand on est, comme moi, un novice-beginner.

J'aurais vraiment besoin qu'une personne éclaire ma lanterne sur une question que l'on m'a posée concernant la sécurisation des bases de données sur une version 1.0.13 de Joomla installée il y a quelques mois pour un client.
N'étant pas informaticien de formation, je rame...

Voici tout d'abord les éléments de configuration du site en question (dont je ne peux communiquer l'adresse hélas) :

Version Joomla 1.0.13 en langue française, hébergé chez OVH en 60gp.
Register_Global OFF (paramétré via un .htaccess)
Url explicites (SEF) activé

Composants supplémentaires installés : JCE 1.1.6, Joomfish 1.7, Expose 4.6.2

Et voici l'observation que l'on m'a communiquée :
Certaines failles dans la base de données sont à analyser comme cette erreur pour récupérer une variable booléenne sur le SQL ou encore de se connecter sur le serveur !
Warning: mysql_select_db(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 92

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 292
SQL=select distinct reference_table from jos_jf_content
Warning: mysql_get_server_info(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 618

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 292

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 292

Warning: mysql_real_escape_string() expects parameter 2 to be resource, boolean given in /home.10.16/xxxxxx/www/includes/database.php on line 136

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 292

Warning: mysql_real_escape_string() expects parameter 2 to be resource, boolean given in /home.10.16/xxxxxx/www/includes/database.php on line 136

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /home.10.16/xxxxxx/www/includes/database.php on line 292
DB function failed with error number
SQL=SELECT session_id FROM jos_session WHERE session_id = ''
SQL =

SELECT session_id
FROM jos_session
WHERE session_id = ''

La base de données me parait assez mal sécurisée.
Y a-t-il des infos complémentaires qu'il serait utile de connaître pour pouvoir y remédier ? Auriez-vous déjà une idée sur l'origine du problème et sur l'action à réaliser ?

Merci d'avance et bonne journée !

TD

User avatar
mejean
Joomla! Hero
Joomla! Hero
Posts: 2714
Joined: Thu Aug 18, 2005 12:28 pm
Location: viewforum.php?f=19
Contact:

Re: Problème de sécurité bases de données 1.0.13 FR

Post by mejean » Mon Mar 03, 2008 3:30 pm

A priori je ne pencherai pas pour un problème de sécurité. Un avis contraire peut-être ?

Sinon, peux-tu nous en dire un peu plus sur le message en question :
- Quand et où apparaît-t-il ? Qui t'as communiqué les informations ?
- L'affichage du site s'effectue-t-il normalement ?
- Sur quelle option est configuré "Error Reporting:" (onglet "Server" de "Global Configuration") ?

Enfin je suggère une mise à jour vers la version 1.0.15. Une fois la mise à jour effectuée, les problèmes persistent-ils ?

NB : Utilises les balises [quote][/quote] pour citer les messages, c'est un peu plus lisible. ;)
Jérôme Bussière - simple utilisateur
www.cardabelle.net

TaninoDoe
Joomla! Fledgling
Joomla! Fledgling
Posts: 4
Joined: Mon Mar 03, 2008 12:33 pm

Re: Problème de sécurité bases de données 1.0.13 FR

Post by TaninoDoe » Mon Mar 03, 2008 10:47 pm

Merci pour ta réponse.

Apparemment, une connaissance de mon client manifestement informaticien aurait, selon ses propres termes "tenté de récupérer une variable booléenne et de se connecter sur le serveur" sur lequel le site est hébergé et les messages d'erreur se seraient alors affichés. C'est cette personne qui évoque un prob de sécurité. Comment il s'y est pris, depuis quel partie du site... je n'en sais pas plus. Je me demandais si cela évoquait quelque chose aux membres du forum avant de trop déranger mon client.

Oui l'affichage du site est tout à fait normal. Les pages s'affichent rapidement et sans erreur. Mis à part le cas que je relate ici, je n'ai jamais observé de problème et mon client ne m'en a jamais rapporté. J'ai déjà eu l'occasion d'installer quelques sites sur base de cette version de Joomla et c'est la 1ère fois que cette observation m'est transmise.

L'option pour le rapport d'erreur est configurée sur simple. Est-ce que je dois porter une action là-dessus ?

Est-ce qu'il serait envisageable que l'erreur soit générée par les serveurs Ovh ?
Je vais voir avec mon client pour l'upgrade en 1.0.15.

Tcho !

User avatar
ouly
Joomla! Ace
Joomla! Ace
Posts: 1074
Joined: Sun Aug 21, 2005 9:18 pm
Contact:

Re: Problème de sécurité bases de données 1.0.13 FR

Post by ouly » Tue Mar 04, 2008 7:42 am

Bonjour TaninoDoe,
Le plus probable est qu'il ait tenté d'instancier un objet database avec le paramètre goOffline à false. Dans ce cas si la connexion échoue, la ressource devient une valeur booléenne et génére les erreurs que vous avez listées.

Si cela s'avère exact, il ne s'agit pas d'un problème de sécurité mais d'un problème d'API. La classe database n'est pas prévue actuellement pour être utilisée de multiple fois. Une seule instance est normalement utilisée pour l'ensemble de l'exécution. Si plusieurs instances de database sont réellement nécessaires, il faut définir une nouvelle classe héritant de celle-ci dans laquelle le constructeur est respécifié.

Code: Select all

class MyDatabase extends database
{
	/**
	* Database object constructor
	*
	* @param string Database host
	* @param string Database user name
	* @param string Database user password
	* @param string Database name
	* @param string Common prefix for all tables
	* @param boolean If true and there is an error, go offline
	*/
	function MyDatabase( $host='localhost', $user, $pass, $db='', $table_prefix='', $goOffline=true )
	{
		// TODO
	}
}
Ou plus proprement :

Code: Select all

class MyDatabase extends database
{
    /**
     * Constructeur prive.
     *
     * @access private
     */
    function MyDatabase( ... )
    {
    }

    /**
     * Instanciation d'un objet MyDatabase.
     *
     * @static
     * @return MyDatabase l'instance ou null en cas d'erreur.
     */
    function & newInstance( ... )
    {
        /* ... */
        // Erreur ?
        $_null = null;
        return $_null;
    }
}
ouly

TaninoDoe
Joomla! Fledgling
Joomla! Fledgling
Posts: 4
Joined: Mon Mar 03, 2008 12:33 pm

Re: Problème de sécurité bases de données 1.0.13 FR

Post by TaninoDoe » Tue Mar 04, 2008 7:55 pm

Bonjour Ouly,

A la lecture de vos conclusions je suis rassuré sur l'aspect sécurité.

Le site est juste un simple support commercial de base. L'utilisation du site est vraiment ce qu'il y a de plus standard.

Je vais pouvoir rassurer mon client de manière objective. Merci pour le support et les tuyaux !

Tcho !

TD

ted807
Joomla! Fledgling
Joomla! Fledgling
Posts: 1
Joined: Mon Sep 22, 2008 9:21 pm

Re: Problème de sécurité bases de données 1.0.13 FR

Post by ted807 » Mon Sep 22, 2008 9:37 pm

Bonsoir à tous,
Je serais moi aussi très heureux d'avoir de l'aide sur un probleme qui ressemble a celui vu dans cette discution.
Depuis peu ma boutique en ligne avec le couple joomla/virtuemart a des bugs aussi étonnants que inquiétants !
En effet certaines pages ne s'affichent plus correctement mais sont remplacées par les lignes avertissant qu'il y a des erreurs (ci-dessous) et même parfois le site devient indisponible et affiche donc le message d'indisponibilité paramétré dans joomla.
La partie admin est elle aussi indisponible ou alors tout est extrêmement lent. Le pire c'est que c'est variable, cela était le cas hier soir et a nouveau ce soir alors qu'il a très bien fonctionner au cours de la journée ! Le site est hébergé chez OVH (60gp) voici son url: http://www.kolamcollection.com/boutique
et voici quelques infos au cas ou :
PHP hébergé sur: Linux web390.60gp.ha.ovh.net 2.6.24.5-grsec-mutu-grs-ipv4-32 #1 SMP Wed Apr 23 16:42:33 CEST 2008 i686 Version Base de données: 5.0.44-log Version PHP: 4.4.9 Serveur Web: Apache/2.2.X (OVH) Interface serveur Web vers PHP: cgi
Version Joomla!: Joomla! 1.0.13 E-commerce FR [ Virtuemart ] 22 Octobre 2007 03:00
VOICI LES MESSAGE D'ERREURS

Code: Select all

Warning: mysql_select_db(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 92

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 292
SQL=select distinct reference_table from jos_jf_content
Warning: mysql_get_server_info(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 618

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 292

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 292

Warning: mysql_real_escape_string() expects parameter 2 to be resource, boolean given in /homez.13/kolamcol/www/boutique/includes/database.php on line 136

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 292

Warning: mysql_real_escape_string() expects parameter 2 to be resource, boolean given in /homez.13/kolamcol/www/boutique/includes/database.php on line 136

Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 289

Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 291

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /homez.13/kolamcol/www/boutique/includes/database.php on line 292
DB function failed with error number
SQL=SELECT session_id FROM jos_session WHERE session_id = ''
SQL =

SELECT session_id
 FROM jos_session
 WHERE session_id = ''

User avatar
syan
Joomla! Explorer
Joomla! Explorer
Posts: 417
Joined: Fri Dec 23, 2005 10:48 am
Location: Paris / Oléron (F)
Contact:

Re: Problème de sécurité bases de données 1.0.13 FR

Post by syan » Tue Sep 23, 2008 8:55 am

Bonjour,
A vu d'œil, je pencherais pour un problème d'hébergement mutualisé qui n'arrive plus à monter en charge ou à fournir pour l'ensemble des clients OVH qui sont sur ce serveur.
Yann Sallou
WebAgency | http://www.utopiart.com


Locked

Return to “1.0 - Sécurité”