Magento Community Editon 1.8.1.0がリリースされました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento Community Edition 1.8.1.0がリリースされました。
今回はメジャーバージョンアップではなくマイナーバージョンアップなので、新機能追加はありません。
ですが、リリースノートによると、非常に多くの修正が行われています。
1.8.1.0での改修内容
VATとFPTに関する修正
1.8.1.0では、主にVAT(付加価値税。日本の消費税のようなもの)とFPT(Fixed Priced Tax。商品に対して固定額で課される税金)の計算ロジックの改修が行われています。
この機能自体は日本のマーケット向けにサイトを運営する場合はあまり関係がない事が多いので、まあそういうものなのだということにしておきます(細かい検証の結果、何かわかればレポートします)。
セキュリティ面での改修
また、セキュリティ面でかなり改修が行われています。リリースノートから引用するだけでも、
- Improved the password hashing algorithm.
Magento thanks Bjorn Kraus for contributing to this fix. - Resolved issues that could have resulted in Cross-Site Request Forgery (CSRF) in the web store.
- Resolved potential issues when issuing Return Materials Authorizations (RMAs).
Magento thanks Ivan Chepurnyi for contributing to this fix. - Resolved a session fixation issue when registering a user with the web store.
- Resolved a cross-site scripting (XSS) issue reported in CE 1.8.0.0.
Magento thanks Myke Hines, Fox, and Opteros for contributing to this fix. - Resolved issues with the expiration of file-based user sessions.
- Resolved issues that could have resulted in Remote File Inclusion (RFI) vulnerabilities.
- Addressed vulnerabilities in OAuth code.
- Closed a potential loophole that enables another user to possibly access personal information when viewing billing agreements.
Magento thanks Darryl Adie and Ampersand Commerce for contributing to this fix. - Resolved a remote code execution vulnerability that enabled an attacker to delete files and directories on the Magento installation. (The attack required access to the Admin Panel as a Magento administrator.)
- Fixed the security settings for the frontend cookie to protect user sessions.
と、これだけの改修が行われています。
注目するべきは、
- CSRF(クロス・サイト・リクエスト・フォージェリ)
- セッション固定化攻撃
- XSS(クロス・サイト・スクリプティング)
- リモートコード実行
などの修正が行われているという点です。これらは安全にECサイトを運営していく上では重要なポイントになります。
1.8を使っている方、あるいは1.8以前を使っている方はアップデートされることを強くおすすめします。
アップデートに関するトラブル
Magento Community Edition 1.8.1.にアップデートする際には、以下のトラブルが起きる可能性があります。
管理画面で「Class 'Mage_Googlecheckout_Helper_Data' not found」というエラーメッセージが出る
このトラブルは公式のリリースノートに書かれている問題です。
環境に依存する問題なので、すべての環境で発生するわけではありません。
この現象が発生した場合、
- 管理画面からログアウトする
- 1.8.1.0に付属するファイルでapp/code/core/Mage/GoogleCheckoutディレクトリを全部置き換える(既存ファイルは一旦消す)
- キャッシュをクリアする
- 管理画面にログインし直す
という手順で解消できます。
マイページにログインできない・購入時のログインができない
この現象は、1.7対応のテーマなどで頻発するのですが、1.8.0対応のテーマでも発生します。
原因としては、テーマ上に
echo $this->getBlockHtml('formkey');
がないことが原因です。
この1行を追記することで対応は可能ですが、テーマによってはそれ以外の箇所で不具合が出る場合もありますので注意が必要です。
アップデートをご検討の方へ
弊社ではMagento Community Editionに向けたアップデート作業を承っています。
本日より2014年1月末日までの間にお申し込みを頂いたお客様には、通常価格の半額にてアップデート作業を実施いたします。
ご希望の方は、のページをご覧のうえ、お申込みください。
なお、弊社は12月28日〜1月5日まで冬季休業を致します。
この期間にお申し込みを頂いた方へのご連絡・作業開始については、年始以降となりますのでご了承ください。
