Magento1.5以降を対象としたセキュリティパッチSUPEE-10570が公開されました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10570」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、19の脆弱性が修正されます。2018年3月5日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。
SUPEE-10570の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- 管理画面に対するリモートコード実行
- 管理画面でのデータ表示に関するXSS
- パスワード変更・リセットに関するセッションの管理
今回はリモートコード実行やクロス・サイト・スクリプティング(XSS)が多く含まれており、特に管理画面関連の修正が多いため、注意が必要です。
修正される脆弱性・不具合
では、SUPEE-10570で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは11件の脆弱性・不具合が修正されています。
危険度「高」以上が5件、「中」が5件含まれています。特にリモートコード実行やDoSが含まれているため可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-1932 | XMLインジェクションによるリモートコード実行 | リモートコード実行 | 9.8(高) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1938 | SUPEE-9652で未修正だったリモートコード実行 | リモートコード実行 | 9.8(高) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1964 | インポート権限のある管理者によるリモートコード実行 | リモートコード実行 | 9.8(高) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-2000 | テスト環境におけるリモートコード実行 | リモートコード実行 | 7.2(高) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1944 | バックアップ機能におけるCSRF | CSRF | 6.4(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1878/1890 | CMS機能におけるXSS | XSS | 5.0(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1908/1948 | カスタム変数機能におけるXSS | XSS | 5.0(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1916 | 属性グループ名におけるXSS | XSS | 5.0(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1928 | ダウンロード商品おけるXSS | XSS | 5.0(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1945 | 商品番号におけるXSS | XSS | なし | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1973 | ニュースレターテンプレートにおけるXSS | XSS | 5.0(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1979/1980 | サイト設定におけるXSS | XSS | 5.0(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1995 | ダウンロード商品におけるXSS | XSS | 5.0(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1889 | 不十分なCSRF検証による問題 | CSRF | 4.9(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1553 | ギフトレジストリに対する権限制御の不備 | 安全でないオブジェクト の直接参照 |
4.8(中) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1026 | セッション管理の不備 | セッション管理 | 3.9(低) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1937 | 不適切な権限の分離 | 情報漏えい | 3.9(低) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1967 | パスワード変更に関するセッション管理の不備 | セッション管理 | 3.4(低) | CE 1.9.3.8 EE 1.14.3.8 |
| APPSEC-1972 | パスワードリセットに関するセッション管理の不備 | セッション管理 | 3.4(低) | CE 1.9.3.8 EE 1.14.3.8 |
SUPEE-10570を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。
