Magento2.1.14/2.2.5がリリースされました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento2.1系と2.2系の最新版となる、2.1.14と2.2.5がリリースされました。
今回のアップデートはセキュリティFIXと不具合修正がメインとなっています。
なお、今回のアップデートに関しては、コミュニティから150件もの改良が提供されています。
完全なリリースノートは公式サイトを見ていただくとして、ここではMagento2.2.5の特筆すべき点について取り上げます。
検索インデックスの改良
商品点数の多いサイトの場合、検索インデックスの再構築には非常に長い時間がかかります。
さらに、検索インデックスはストアビュー単位で作成されるため、ストアビューの数が多い場合にはより時間が必要になります。
2.2.5からは検索インデックスの更新をストアビュー単位で並列実行できるようになりました。
定時バッチ実行専用のサーバーを用意しておくことで、より早くインデックス更新が可能になりました。
注文確認画面からの会員登録
ゲスト状態で購入した方が購入完了後でも会員登録できる機能がもともとMagento2系には用意されているのですが、2.2.5からは会員登録時に必要な項目を正しくMagentoがチェックできる仕組みが追加されました。
セット商品に対するクーポン適用
2.2.4まではセット商品に対するクーポン適用が期待通り行われない問題がありました。
2.2.5ではこの問題は解消され、セット商品に対するクーポン適用が想定通り行われるようになりました。
定時バッチの重複実行禁止
Magento2系全般で、定時バッチの実行が重複することがありましたが、2.2.5からは重複実行ができないように改良されました。
動作対象PHPバージョンの変更
動作対象PHPバージョンが7.0.13以上に変更になりました。
2.2.5にアップデートする際は、PHPのバージョンを7.0.13以上にアップデートしてから行うようにしてください。
よく利用される商品検索結果のキャッシュ化
Magento2系の商品検索はあまり速くないため、検索を多用するサイトの場合は良好なパフォーマンスが得られませんでした。
2.2.5からは、よく使用される商品検索結果をキャッシュし、再利用するようになりました。
脆弱性の修正
同時にリリースされたMagento1系のものと内容が一部重複する部分もありますが、16件の脆弱性が修正されています。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-2014 | スワッチモジュールにおける管理画面リモートコード実行 | リモートコード実行 | 9.8(高) | 2.1.14 |
| APPSEC-2054 | 商品インポートにおけるリモートコード実行 | リモートコード実行 | 8.9(高) | 2.1.14 2.2.5 |
| APPSEC-2042 | 管理画面のターゲットルール機能におけるPHPオブジェクトインジェクション | リモートコード実行 | 8.9(高) | 2.1.14 |
| APPSEC-2055 | スケジュールインポート・エクスポート管理画面におけるPHPオブジェクトインジェクション | リモートコード実行 | 8.9(高) | 2.1.14 |
| APPSEC-2048 | APIを介したSQLインジェクション | SQLインジェクション | 8.5(高) | 2.1.14 2.2.5 |
| APPSEC-2025 | WYSIWYGエディタを介したディレクトリトラバーサル | ディレクトリトラバーサル | 8.2(高) | 2.1.14 2.2.5 |
| APPSEC-2044 | BtoBカート機能におけるXSS | XSS | 8.1(中) | 2.2.5 |
| APPSEC-2026 | 通貨設定画面を介したリモートコード実行 | リモートコード実行 | 8.1(高) | 2.1.14 |
| APPSEC-2063 | フルページキャッシュにおける認証バイパス | 情報漏えい | 7.7(高) | 2.1.14 2.2.5 |
| APPSEC-2070 | 商品インポートにおけるパストラバーサル | パストラバーサル | 7.6(高) | 2.1.14 2.2.5 |
| APPSEC-2062 | 開発者ツールを介したリモートコード実行 | リモートコード実行 | 7.6(高) | 2.1.14 2.2.5 |
| APPSEC-2027 | ターゲットルール管理画面におけるPHPオブジェクトインジェクション | リモートコード実行 | 7.4(高) | 2.1.14 2.2.5 |
| APPSEC-2010 | URLシークレットキー無効化時のデザイン設定機能に対するCSRF | CSRF | 7.1(高) | 2.1.14 2.2.5 |
| APPSEC-2030 | CMSリビジョンエディタにおける管理ユーザー名のXSS | XSS | 5.9(中) | 2.1.14 |
| APPSEC-1716 | テンプレートにおけるX-Frame-Origin設定欠落 | 不適切なセキュリティ設定 | 3.7(低) | 2.1.14 2.2.5 |
| APPSEC-1993 | IPスプーフィング | 権限昇格 | 3.7(低) | 2.1.14 2.2.5 |
Magento2系の場合はセキュリティパッチは提供されません。
必ず試験用の環境をご用意の上、アップデートを適用し、動作検証を行ってください。
独自にカスタマイズしている箇所や、サードパーティ製のエクステンションやテーマについては、Magento本体のセキュリティ修正とは別で対応が必要になることがあります。
