Magento 2.0.1リリースとMagento1.xに対するセキュリティパッチ公開
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento公式のアナウンスで、以下の2種類のリリースがありました。
- Magento 2.0.1のリリース
- Magento 1.xに対するセキュリティパッチ
Magento 2.0.1のリリース
2015年11月18日にリリースされたMagento 2ですが、早くもマイナーアップデート版がリリースされました。(公式リリースノート)
このリリースでは以下の修正・改良が含まれているそうです。
- PHP7.0.2への公式対応
- セキュリティ修正
- USPS(アメリカ合衆国郵便公社)のAPI変更に対する対応
PHP7.0.2への公式対応
Magento 2はHHVMやPHP5.6対応を盛り込んでリリースされましたが、PHP7に対しては非対応でした。
今回のアップデートで、PHP7.0.2に公式対応したことが告知されたため、PHP7でもMagento 2を安心してご利用いただけます。
セキュリティ修正
このリリースでは以下の脆弱性が修正されました。
- SQLインジェクション
- 管理者によって作成された注文コメントによるクロス・サイト・スクリプティング(XSS)
- XSSコードがデータベースに保存される脆弱性
- HTTPヘッダーによるXSS
- 購入画面におけるクロス・サイト・リクエスト・フォージェリ(CSRF)の脆弱性
- インライン翻訳機能における値検証処理のすり抜け
- CMSブロックやキャッシュデータを介したシステムのコア情報に対する不正なアクセス
- 商品のカスタムオプションにおけるXSSの脆弱性
- ログイン時等の画像認証(CAPTCHA)のすり抜け
- 顧客氏名を悪用したXSS
- 公開画面からの正当な権限をもたない閲覧者による、レビューの削除・編集ができる脆弱性
- ストアの注文情報に対する総当たり攻撃を用いた情報漏えいの脆弱性
- 管理者パスワードの変更に対するセキュリティ上の要件の不備
Magento 2を用いて既にサイトを構築されている方におかれましては、早めにアップデートされることをおすすめします。
その際は、本番環境とは別の環境をご用意の上、アップデートによる悪影響がないかをご確認ください。
USPSのAPI変更に対する対応
USPSが利用者に提供しているAPIに仕様変更があり、Magentoがそれに対応しました。
USPSを配送方法としてご利用でなければ特段影響はありません。
その他不具合修正
Github等で報告された多くの不具合が修正されています。
もし、2.0.0をお使いの場合に問題があるようでしたら、アップデートすることをおすすめします。
Magento 1.xに対するセキュリティパッチ
Magento 2が正式リリースされたため、Magento 1.xは既にセキュリティ修正のみが行われる位置づけになっています。
今回のセキュリティパッチでは、20件の脆弱性が修正されています。(公式アナウンス)
パッチによって修正される脆弱性の概要
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-1213 | メールアドレスを介したXSS | XSS | 9.3(緊急) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1239 | Payflow pro決済における注文コメントを介したXSS | XSS | 9.3(緊急) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1260 | HTTP_X_FORWARDED_FORヘッダを介した注文詳細管理画面のXSS | XSS | 7.5(高) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1270 | ゲスト注文の照会ページにおける総当たり攻撃 | 情報漏えい | 7.5(高) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1171 | RSSフィードにおける情報漏えい | 情報漏えい | 7.5(高) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1206 | 管理画面ログインにおけるCSRF検証不備 | CSRF | 7.5(高) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1306 | 管理画面からの不正なファイルアップロード | 不十分な保護 | 7.4(高) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1179 | 管理画面ログインにおけるCSRF攻撃への誘導 | CSRF | 6.5(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1110 | CSV/XMLエクスポートにおけるExcel関数の埋め込み攻撃 | 数式インジェクション | 6.1(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1267 | 商品のカスタムオプションにおけるXSS | XSS | 6.1(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1268 | 権限のないレビューの削除・編集 | 不十分なデータ保護 | 5.9(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1177 | 不正なメールアドレスによるメール配信妨害 | サービス妨害 | 5.4(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1283 | CAPTCHA認証の回避 | 総当たり攻撃 自動化の停止が不適切 |
5.3(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1208 | Authorize.net決済における管理画面URLの漏洩 | 情報漏えい | 5.3(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1214 | 翻訳データにおけるXSS | XSS | 4.7(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1212 | ショッピングカートの商品に対するCSRF攻撃 | CSRF | 4.3(中) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1276 | カスタムオプションにおけるXSS | XSS | 3.8(低) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1204 | シリアライズ化された文字列のフィルタリングによるリモートコード実行 | 安全でないコード | 0(低) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1305 | 管理画面のクーポン入力画面におけるXSS | XSS | 0(低) | CE 1.9.2.3 EE 1.14.2.3 |
| APPSEC-1240 | Payflow Pro決済におけるJavascriptのエスケープ処理の不備 | 入力値の適正な処理 | 0(低) | CE 1.9.2.3 EE 1.14.2.3 |
なお、APPSEC-1240については、APPSEC-1239と関連しています。この脆弱性単体では成立しないため、リスクレベルが低くなっています。
CVSS v3については、独立行政法人 情報処理機構(IPA)のサイトをご覧ください。
パッチの適用について
Magento公式サイトから、バージョン別のセキュリティパッチがダウンロードできます。
ご利用中のバージョン専用のパッチが公開されていますので、必ず適合するバージョンのパッチをご利用ください。
なお、このパッチを適用するためには、これまでにリリースされた全てのセキュリティパッチが適用されていることが条件になります。
未適用のパッチがある場合、本パッチが正しく適用できない恐れがありますのでご注意ください。
