Magento全バージョンを対象としたセキュリティパッチについて

Magento公式よりMagentoの全バージョンを対象としたセキュリティパッチがリリースされました。
このセキュリティパッチは、任意のプログラムをMagento上で実行できてしまう可能性があるため、可及的速やかに適用が求められています。

脆弱性の影響を受けるシステム

基本的にApacheをHTTPサーバーとしている以下の環境が対象です。

ですが、他の環境であっても影響を受ける可能性があるため、念のためチェックをする必要があります。

任意のプログラムを実行できてしまうため、以下のような被害が予想されます。

攻撃者はPHPとApacheが実行できるありとあらゆることが可能になるため、放置することは非常に危険です。

サーバー上にtest.php.csvという名称で、以下のようなファイルを作成し、ブラウザからアクセスします。

<?php
phpinfo();
?>

もし、phpinfoの内容がブラウザに表示されるようであれば、設定の見直しが必要です。

Apacheの設定ファイルの中で、PHPに関する設定を行っている場所を探します。

AddHandler application/x-httpd-php .php

上記の内容を、以下のように書き換えます。

<FilesMatch \.php$>
SetHandler application/x-httpd-php
</FilesMatch>

環境によっては以下のように書く必要があるかもしれません。

<FilesMatch \.php$>
 SetHandler php5-script
</FilesMatch>

設定ファイルを保存したら、Apacheを再起動し、先ほどの確認作業を行います。
phpinfoの内容が出なくなれば、対策作業は完了です。

パッチ自体は、管理画面を対象に、2つのファイルに対する修正を行います。
ダッシュボードのグラフに関する処理を修正するのですが、データの暗号化と復号化に関する処理が見直されています。
その他の箇所には影響しないので、適用すること自体へのリスクはあまり高くないと言ってもよいでしょう。

まず、使用中のバージョンに適合したパッチをダウンロードします。
ダウンロード自体はMagento公式サイトから行えます。

パッチと対象バージョンの関係ですが、

となっています。
基本的に全バージョン対象となっていますが、Magento CE 1.4以前については、EE 1.9向けのパッチをベースにして自力で調整する必要があります。

パッチをMagentoのドキュメントルートにアップロードします。
その後、パッチを実行し、app/etc以下にパッチ適用結果のファイルができていることを確認します。
環境によっては、patchコマンドがインストールされていないことがありますので、その場合は適宜インストールして作業を行ってください。

共用レンタルサーバーなどでリモートアクセスが出来ない場合は、以下の手順で適用作業ができます。

パッチをテキストエディタで開き、__PATCHFILE_FOLLOWS__と書かれている行より後ろの内容を確認する。
app/code/core/Mage/Adminhtml/Block/Dashboard/Graph.phpとapp/code/core/Mage/Adminhtml/controllers/DashboardController.phpを修正する

修正する際は、パッチの中に書かれている、「-」の行の内容を「+」の行の内容で置き換え・追記すればOKです。

弊社ではパッチの適用が自力では難しい、という方向けに、をご提供しています。
お気軽にご相談ください。