Magento Community Edition 1.5.0.1以降を対象としたセキュリティパッチのリリース
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
約8ヶ月ぶりにMagento1.xに対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-8788」はMagento Community Edition 1.5.0.1以降のバージョンが対象となっており、適用の緊急度は相当高く設定されています。
SUPEE-8788の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- Zend Frameworkに存在する脆弱性の修正(SQLインジェクション)
- 支払い処理における脆弱性(リモートコード実行)
- 顧客がログアウトした後のログイン情報の不適切な取扱いに関する脆弱性(データ保護の不備)
- 複数の機能でのクロスサイト・スクリプティング
- Gifファイルを用いたサービス不能攻撃(DoS攻撃)
- Flashによるファイルアップローダーでのクロスサイト・スクリプティング
各種脆弱性の修正もさることながら、長らくMagentoで使われてきたFlashによるファイルアップロード機能が廃止されている点に注意が必要です。
修正される脆弱性・不具合
では、SUPEE-8788で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは17の脆弱性・不具合が修正されています。
危険度「高」以上が5件、「中」が10件含まれています。特にリモートコード実行やSQLインジェクションは危険なので、可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-1484 | 購入画面におけるリモートコード実行 | リモートコード実行 | 9.8(緊急) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1480 | ZendFrameworkにおけるSQLインジェクション | SQLインジェクション | 9.1(緊急) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1488 | 管理画面を介した招待機能におけるクロスサイト・スクリプティング | XSS | 8.2(高) | EE 1.14.3.0 |
| APPSEC-1247 | ブロックキャッシュの漏えい | 情報漏えい | 7.7(高) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1517 | なりすましログイン | 情報漏えい | 7.5(高) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1375 | 管理画面におけるリモートコード実行 | リモートコード実行 | 6.5(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1338 | フルページキャッシュの汚染 | キャッシュ汚染 | 6.5(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1436 | URL処理におけるクロスサイト・スクリプティング | XSS | 6.1(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1211 | カテゴリ管理におけるクロスサイト・スクリプティング | XSS | 6.1(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1058 | Gif画像によるサービス不能攻撃 | DoS | 5.3(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-666 | Flashアップローダーによるクロスサイト・スクリプティング | XSS | 5.3(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1282 | メールテンプレートにおけるクロスサイト・スクリプティング | XSS | 4.9(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-327 | 入力フォームにおけるCSRF | CSRF | 4.7(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1189 | 欲しい物リストと住所の削除に関するCSRF | CSRF | 4.7(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1478 | ログアウト時のセッション情報削除不備 | セッション管理不備 | 4.2(中) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-1106 | SSL証明書の検証不備による中間者攻撃 | 中間者攻撃 | 3.7(低) | CE 1.9.3.0 EE 1.14.3.0 |
| APPSEC-995 | ハッシュ生成タイミングに関する攻撃 | タイミング攻撃 | 3.7(低) | CE 1.9.3.0 EE 1.14.3.0 |
SUPEE-8788を適用する際の注意点
このセキュリティパッチは非常に大きいパッチです。
既に公開されているセキュリティパッチを適用済みの環境ではうまく適用できないケースがあると既に報告されており、StackExchangeでも質問が立ち始めています。
SUPEE-1533と競合する場合
典型的な競合のパターンとしては、SUPEE-1533との間に起きるものがあるようです。
幸い、SUPEE-1533は小さいパッチなので、競合する部分を手動で巻き戻し、SUPPE-8788を適用した上で、再度SUPEE-1533の修正内容を手動で適用する方法が現在取られています。
その他サードパーティ製のエクステンションなどと競合する場合
パッチが出るたびに確認が必要ですが、サードパーティ製のエクステンションやテーマ、あるいは自社用に開発した機能と、SUPEE-8788が競合する場合があります。
このような場合は個別対応をしなければならないため、パッチ適用だけでなく動作検証を十分に行う必要があります。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
