MagentoよりすべてのバージョンのMagentoを対象としたセキュリティパッチ「SUPEE-6482」が公開されました。

パッチを適用しない場合に引き起こされる問題

SUPEE-6482は以下の脆弱性を対象としたセキュリティパッチです。

  • (Enterprise Editionのみ)改竄されたHTTPヘッダー情報によるクロス・サイト・スクリプティング(XSS)
  • Magento APIを悪用したファイルの強制読み込み
  • (Enterprise Editionのみ)ギフトレジストリ検索機能のクロス・サイト・スクリプティング(XSS)
  • Magento APIを悪用した、サーバー側リクエスト偽造(SSRF)

パッチの適用手順

パッチを適用する場合は、以下の手順で行ってください。

パッチのダウンロード

  1. Magentoのダウンロード画面の一番下に、セキュリティパッチのダウンロードコーナーがあります。
    (Enterprise EditionはPartner Portalからダウンロードしてください)
  2. SUPEE-6482の右にあるプルダウンで、お使いのバージョンを選び、「DOWNLOAD」ボタンを押します。
  3. ブラウザの画面上にパッチの内容が表示されるので、この内容をお使いのパソコン上に保存します(ファイル名はブラウザのアドレスバーを参照してください)。

パッチの適用

  1. パッチのファイルをMagentoがインストールされているディレクトリにアップロードします。
  2. SSHクライアントなどを用いてサーバーにログインします。
  3. Magentoがインストールされているディレクトリに移動します。
  4. 「sh パッチファイル名」とタイプし、パッチを実行します。(一部環境ではshの代わりにbashとタイプする必要があります)
  5. 「Patch was applied/reverted successfully.」を表示されれば適用完了です。

パッチが適用できない環境の場合

共用レンタルサーバーなどでリモートアクセスが出来ない場合は、以下の手順で適用作業ができます。

  1. パッチをテキストエディタで開き、__PATCHFILE_FOLLOWS__と書かれている行より後ろの内容を確認する。
  2. 「diff --git」で始まる内容を確認し、対象ファイルの変更内容を適用する

修正する際は、パッチの中に書かれている、「-」の行の内容を「+」の行の内容で置き換え・追記すればOKです。

パッチの適用方法がわからない・不安だ、対象かどうかもわからないという方へ

弊社ではパッチの適用が自力では難しい、という方向けに、「」をご提供しています。お気軽にご相談ください。

なお、弊社との間に継続的な保守サポートをご契約いただいているお客様(レンタルサーバーも含みます)におかれましては、すでにセキュリティパッチを適用させていただきました。