Adobe Commerce / Magento Open Sourceを対象とした緊急セキュリティリリース APSB24-90がでています
日本時間の2024年11月13日現在、Adobe Commerce / Magento Open Sourceを対象とした、緊急セキュリティリリースが公開されています。
Adobe Security Bulletinによると、このリリースは「APSB24-90」として採番されており、緊急度は3段階中の3番目(最も低いもの)とされています。(緊急度の定義はこちら)
今回はこのセキュリティリリースの内容について解説していきたいと思います。
APSB24-90の対象となる環境とは
APSB24-90の対象になる環境は比較的限定されています。
前提になるAdobe Commerce / Magento Open Sourceのバージョンですが、以下のとおりです。
- Adobe Commerce / Magento Open Source 2.4.7以降
- Adobe Commerce 2.4.4以降かつ、Commerce Services Connector他をインストールしている場合
これらの環境で、以下のモジュールバージョンの場合に対象となります。
- magento/services-idが3.2.5以前
通常、Magento Open Sourceでは対象のモジュールを利用することはない(2.4.7以降を除く)ので、このリリースは無視して構いません。
Adobe Commerceの場合は2.4.6以前のバージョンにおいては
- Product Recommendations
- Catalog Services
- LiveSearch
- Payment Service
といったAdobeが提供するコマース向けのSaaSサービスを利用していなければ対象外となります。
Adobe Commerce / Magento Open Source共通して言えることは
2.4.7以降は必ず対象になる
という点です。
ですから、2.4.7以降のバージョンで稼働しているサイトについては24時間以内とまでは行かないまでも、アップデートが必要となります。
脆弱性の概要
Adobe Security Bulletinによると、APSB24-90の脆弱性は
Server Side Request Forgerie
とされています。
Commerce Services Connectorがやり取りするAdobe側のサービスURLを攻撃者が改ざんすることによって、意図しないコンテンツが管理画面上に表示される可能性があります。
但しこの脆弱性が成立するためには、
- 管理者権限の奪取
- 認証情報が必要
であるため、適切に管理者情報の管理や管理画面に対するアクセス制限が実施できていれば直ちに問題が起きることはありません。
(そのため、脅威度が3に設定されています)
脆弱性の対処方法
この脆弱性への対処手順は以下のとおりです。
- magento/services-id を3.2.6に更新する
- DB更新有りのデプロイを行う
- キャッシュクリアを行う
コードの差分を見る限りでは、サービスURLのチェック処理が追加された程度の違いしか無いため、他の機能への影響は軽微だと思われます。
- お知らせ (34)
- Magento Open Source (169)
- Adobe Commerce (86)
- Magentoトピックス (349)
- Magentoバージョンアップ (11)
- OroCommerce (1)
- AkeneoPIM (16)
- Shopware (26)
- 世界のプライバシー保護規制 (11)
- OroCRM (14)
- Typo3 (9)
- イベント (27)
- Mage-OS (1)
- エクステンションリリース情報 (75)
- Mautic (1)
