Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10415」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、11の脆弱性が修正されます。2017年11月29日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。

SUPEE-10415の重要なポイント

Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。

  • 管理画面のRSS閲覧に関するセッションの権限昇格
  • CMS機能とレイアウトにおける管理画面でのリモートコード実行
  • app/etc/local.xmlの暗号化キーの漏洩の恐れ
  • テンプレート設定によるディレクトリトラバーサル
  • 顧客グループ設定におけるCSRFとXSS
  • 管理者向け通知機能におけるXSS
  • 非Apache環境における実行可能ファイルのアップロードの危険性
  • ニュースレターテンプレートにおけるCSRFとXSS
  • 管理画面の注文ステータスの名称におけるXSS
  • 顧客セグメント機能における不適切なHTTPメソッドの取扱い
  • 注文商品のカスタムオプション情報漏洩の恐れ
  • 管理者ログイン画面のオートコンプリート機能の不適切な取扱い
  • セキュアCookieにおける不適切な有効期限による中間者攻撃の恐れ

今回はリモートコード実行やクロスサイトリクエストフォージェリ(CSRF)が多く含まれており、特に管理画面関連の修正が多いため、注意が必要です。

修正される脆弱性・不具合

では、SUPEE-10415で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは11件の脆弱性・不具合が修正されています。
危険度「高」以上が5件、「中」が5件含まれています。特にリモートコード実行やDoSが含まれているため可能な限り速やかにパッチを適用することが望ましいといえます。

SUPEE-10415で修正される脆弱性
脆弱性番号概要種別CVSS v3 リスクレベル対象バージョン
APPSEC-1330 未検証の入力値によるサービス不能の恐れ DoS 6.7(中)  CE 1.9.3.7
EE 1.14.3.7 
APPSEC-1885 商品説明文におけるXSS XSS 6.6(中)  CE 1.9.3.7
EE 1.14.3.7
APPSEC-1892 ビジュアルマーチャンダイザーにおけるXSS XSS 6.1(中) EE 1.14.3.7
APPSEC-1894 安全でないデータ復元処理におけるリモートコード実行 リモートコード実行 8.2(高) CE 1.9.3.7
EE 1.14.3.7 
APPSEC-1897 SOAP V1向けのWSDL修正 なし なし CE 1.9.3.7
EE 1.14.3.7 
APPSEC-1913 設定操作におけるリモートコード実行 リモートコード実行  7.2(高) CE 1.9.3.7
EE 1.14.3.7
APPSEC-1914 CMSページにおけるXSS XSS 6.1(中) CE 1.9.3.7
EE 1.14.3.7 
APPSEC-1915 CMSページにおけるリモートコード実行 リモートコード実行  8.1(高) CE 1.9.3.7
EE 1.14.3.7 
APPSEC-1325 支払契約機能におけるXSS XSS 5.5(中) CE 1.9.3.7
EE 1.14.3.7
APPSEC-1830 商品属性におけるPHPオブジェクトインジェクション リモートコード実行  8.2(高) CE 1.9.3.7
EE 1.14.3.7
APPSEC-1861 商品情報におけるリモートコード実行 リモートコード実行  8.2(高) CE 1.9.3.7
EE 1.14.3.7 

SUPEE-10415を入手するには

Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。

パッチの適用が難しい方へ

弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。

なお、弊社でMagento保守サービスをご契約のお客様につきましては、弊社側でのパッチ適用による影響範囲の特定や、動作検証を進めております。順次適用を行いますのでご安心ください。