MagentoよりすべてのバージョンのMagentoを対象としたセキュリティパッチ「SUPEE-5994」が公開されました。
先日からセキュリティパッチ適用の通知が出ていたかと思いますが、今回はそれと別のセキュリティパッチです。

パッチを適用しない場合に引き起こされる問題

SUPEE-5994は以下の脆弱性を対象としたセキュリティパッチです。

  • 管理画面URLの漏洩
  • 購入処理における顧客住所の漏洩
  • 継続課金処理における顧客情報の漏洩
  • 画像キャッシュを経由したサーバー上のファイルパスの漏洩
  • Excel形式ファイルを悪用したインポート処理に対する攻撃
  • Authorize.Net連携処理におけるクロスサイト・スクリプティング
  • 悪意のあるエクステンションパッケージによるシステムファイルの上書き

パッチの適用手順

パッチを適用する場合は、以下の手順で行ってください。

パッチのダウンロード

  1. Magentoのダウンロード画面の一番下に、セキュリティパッチのダウンロードコーナーがあります。
    (Enterprise EditionはPartner Portalからダウンロードしてください)
  2. SUPEE-5994の右にあるプルダウンで、お使いのバージョンを選び、「DOWNLOAD」ボタンを押します。
  3. ブラウザの画面上にパッチの内容が表示されるので、この内容をお使いのパソコン上に保存します(ファイル名はブラウザのアドレスバーを参照してください)。

パッチの適用

  1. パッチのファイルをMagentoがインストールされているディレクトリにアップロードします。
  2. SSHクライアントなどを用いてサーバーにログインします。
  3. Magentoがインストールされているディレクトリに移動します。
  4. 「sh パッチファイル名」とタイプし、パッチを実行します。
  5. 「Patch was applied/reverted successfully.」を表示されれば適用完了です。

パッチが適用できない環境の場合

共用レンタルサーバーなどでリモートアクセスが出来ない場合は、以下の手順で適用作業ができます。

  1. パッチをテキストエディタで開き、__PATCHFILE_FOLLOWS__と書かれている行より後ろの内容を確認する。
  2. 「diff --git」で始まる内容を確認し、対象ファイルの変更内容を適用する

修正する際は、パッチの中に書かれている、「-」の行の内容を「+」の行の内容で置き換え・追記すればOKです。

パッチの適用方法がわからない・不安だ、対象かどうかもわからないという方へ

弊社ではパッチの適用が自力では難しい、という方向けに、パッチの適用を含んだテクニカルサポート をご提供しています。
お気軽にご相談ください。

なお、弊社との間に継続的な保守サポートをご契約いただいているお客様(レンタルサーバーも含みます)におかれましては、カスタマイズ内容などを考慮した上で、パッチの適用を実施させていただきます。
個別にご連絡いたしますので、今しばらくお待ち下さい。