Magento1.5以降を対象としたセキュリティパッチSUPEE-10266が公開されました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10266」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、13の脆弱性が修正されます。2017年9月15日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。
SUPEE-10266の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- 管理画面のRSS閲覧に関するセッションの権限昇格
- CMS機能とレイアウトにおける管理画面でのリモートコード実行
- app/etc/local.xmlの暗号化キーの漏洩の恐れ
- テンプレート設定によるディレクトリトラバーサル
- 顧客グループ設定におけるCSRFとXSS
- 管理者向け通知機能におけるXSS
- 非Apache環境における実行可能ファイルのアップロードの危険性
- ニュースレターテンプレートにおけるCSRFとXSS
- 管理画面の注文ステータスの名称におけるXSS
- 顧客セグメント機能における不適切なHTTPメソッドの取扱い
- 注文商品のカスタムオプション情報漏洩の恐れ
- 管理者ログイン画面のオートコンプリート機能の不適切な取扱い
- セキュアCookieにおける不適切な有効期限による中間者攻撃の恐れ
今回はリモートコード実行やクロスサイトリクエストフォージェリ(CSRF)が多く含まれており、特に管理画面関連の修正が多いため、注意が必要です。
修正される脆弱性・不具合
では、SUPEE-10266で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは13件の脆弱性・不具合が修正されています。
危険度「高」以上が7件、「中」が6件含まれています。特にリモートコード実行やSQLインジェクションは危険なので、可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-1838 | 管理画面のRSS閲覧に関するセッションの権限昇格 | 権限昇格 | 8.2(高) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1800 | CMS機能とレイアウトにおける管理画面でのリモートコード実行 | リモートコード実行 | 8.2(高) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1835 | app/etc/local.xmlの暗号化キーの漏洩の恐れ | 情報漏えい | 8.2(高) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1757 | テンプレート設定によるディレクトリトラバーサル | ディレクトリトラバーサル | 6.1(中) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1852 | 顧客グループ設定におけるCSRFとXSS | CSRF+XSS | 6.0(中) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1494 | 管理者向け通知機能におけるXSS | XSS | 5.9(中) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1793 | 非Apache環境における実行可能ファイルのアップロードの危険性 | リモートコード実行 | 5.8(中) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1853 | ニュースレターテンプレートにおけるCSRFとXSS | CSRF + XSS | 5.5(中) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1729 | 管理画面の注文ステータスの名称におけるXSS | CSRF | 5.5(中) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1579 | 顧客セグメント機能における不適切なHTTPメソッドの取扱い | CSRF | 5.1(中) | EE 1.14.3.6 |
| APPSEC-1588 | 注文商品のカスタムオプション情報漏洩の恐れ | 情報漏えい | 4.9(中) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1599 | 管理者ログイン画面のオートコンプリート機能の不適切な取扱い | 情報漏えい | 4.1(中) | CE 1.9.3.6 EE 1.14.3.6 |
| APPSEC-1688 | セキュアCookieにおける不適切な有効期限による中間者攻撃の恐れ | 不適切なセッション期限 | 3.8(低) | CE 1.9.3.6 EE 1.14.3.6 |
SUPEE-10266を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
なお、弊社でMagento保守サービスをご契約のお客様につきましては、弊社側でのパッチ適用による影響範囲の特定や、動作検証を進めております。順次適用を行いますのでご安心ください。
