Magento2.0.17/2.1.11/2.2.1がリリースされました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento Open SourceとCommerceの最新版、2.0.17、2.1.10、2.2.1がリリースされました。
今回のアップデートはセキュリティ修正の位置づけですが、およそ10件の脆弱性対応とバージョン別に修正と改良が行われています。
修正された脆弱性の概要については、Security Centerに正式な情報が公開されています。
修正された脆弱性の内訳
今回のアップデートで修正された脆弱性の内訳は以下のようになっています。
(CVSSv3によるランク付けを基準にしています)
- 高:8件
- 中:2件
総数としては10件の修正です。緊急レベルのものはありませんが、レベル高のものが8つあります。
できるだけ早急に適用することが強く推奨されます。
修正内容の詳細
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-1325 | 支払契約機能におけるXSS | XSS | 5.5(中) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1825 | メールテンプレートにおけるPHPオブジェクトインジェクション | リモートコード実行 | 8.2(高) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1830 | 商品属性におけるPHPオブジェクトインジェクション | リモートコード実行 | 8.2(高) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1862 | 商品情報におけるPHPオブジェクトインジェクション | リモートコード実行 | 8.2(高) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1881 | ダウンロード商品属性におけるPHPオブジェクトインジェクション | リモートコード実行 | 7.2(高) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1893 | 商品情報のスワッチデータに対するPHPオブジェクトインジェクション | リモートコード実行 | 8.2(高) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1900 | フォーム入力値未検証によるリモートコード実行 | リモートコード実行 | 8.2(高) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1910 | インポート履歴におけるローカルファイル読み込み | ローカルファイル読み込み リモートコード実行 |
6.1(中) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1930 | ウィジェット機能におけるリモートコード実行 | リモートコード実行 | 8.2(高) | 2.0.17以前 2.1.10以前 2.2.0 |
| APPSEC-1931 | Zend Frameworkによるリモートコード実行でのファイル削除の可能性 | リモートコード実行 | 7.2(高) | 2.0.17以前 2.1.10以前 2.2.0 |
機能改良・改修
また、バージョン別に不具合修正が施されています。
Magento CommerceとMagento Open Sourceで少しずつ異なりますので、ここでは分けてリリースノートへのリンクをご紹介します。
Magento Commerce
Magento Open Source
アップデートについて
弊社ではcomposerもしくは管理画面経由でのアップデートをオススメしています。
アップデート作業に不安のある方、アップデート方法がわからない方は、弊社の技術サポートサービスをご利用ください。
今回のアップデートにはセキュリティ修正なので、放置すると重大な問題に発展する恐れがあります。
2.0.16、2.1.9、2.2.0またはそれ以前のバージョンをお使いの方は、早めにアップデートをされたほうが良いでしょう。
