Mise à jour de sécurité catastrophique ubercart gallery_assist hierarchical_select

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Bonjour,
suite au deux dernières alertes de sécurité (ubercart et gallery-assist) je n'ai plus accès à l'admin du site, après envoi du formulaire de connexion :

Redirection de page incorrecte
Firefox a détecté que le serveur redirige la demande pour cette adresse d'une manière qui n'aboutira pas.

safari : Trop de redirections sont survenues en tentant d’ouvrir « https://www.mon-site.com/users/mon-login ». Ceci peut se produire lorsque vous ouvrez une page qui est redirigée vers une autre page laquelle se redirige à son tour vers la page originale.
Dans la fenêtre d'activité :

Le chargement a échoué ->
file:///Applications/Safari.app/Contents/Resources/
https://www.mon-site.com/users/mon-login 1,7Ko
https://www.mon-site.com/users/mon-login 250Ko
https://www.mon-site.com/users/mon-login 1,5Ko

Même comportement avec n'importe quel autre navigateur et n'importe quel compte d'utilisateur.
J'ai essayé d'enter directement sur une page d'administration en espérant que l'identification s'était effectué, pas de bol…
Avant de détruire le site en prod et de tout réinstaller à partir d'une sauvegarde antérieure, voyez-vous une autre piste ?

Version de Drupal : 

"Détruire le site en prod" me paraît un peu poussé, non? Déjà, à ta place j'aurais récupérer la version antérieur de ubercart et Gallery Assist, et écrasé les nouvelles versions. Normalement, cela devrait fonctionner comme avant si ce sont les deux seules choses que tu as faites.

D'abord, il serait bien de savoir quel est le module qui bugge. Réfléchis bien si tu as à un moment ou à un autre modifié le core de Ubercart ou Gallery Assist.

Le problème est que je ne peux plus me connecter en admin. Impossible donc d'avoir accès à la page modules. J'ai rechargé les anciens modules en FTP, j'ai repassé dans le fichier settings le update sur TRUE. L'appel de la page update.php fonctionne mais ça plante :
The update process was aborted prematurely while running update # in .module. All errors have been logged. You may need to check the watchdog database table manually.

J'ai plongé dans la base de données mais je ne vois pas cette table ou ce qui pourrait correspondre.

Un truc bizarre, le cron lance bien les backups, les fichiers font tous 9,1mo sauf celui du jour où ça a planté (8,8) les fichiers suivants sont à nouveau à 9,1…???

A part vider la base pour avoir à nouveau accès à l'admin et réinstaller le dernier backup précédent la casse, je ne vois pas trop comment procéder.
Je n'ai rien modifié sur ces modules, aucun hook sur le site entier à part FCKEditor
Serait-ce un problème de memory_limit ? je dois déjà être à 196…

Si c'était memory limit, il te le dirait.

A mon avis, il y a bien un module qui plante. C'est peut-être lié à ton update.php planté.

Ce que tu peux faire, c'est aller dans ta base de donnée, dans la table "system". Là, tu as la liste de tous tes modules : désactive-les un à un pour voir lequel fait planter le site. Pour désactiver un module, il suffit de changer le status et de le mettre à 0 au lieu de 1...pas besoin d'avoir accès à la page des modules (c'est plus long par contre puisqu'il faut désactiver les modules un à un).