Magento1.5以降を対象としたセキュリティパッチSUPEE-10752が公開されました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10752」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、23件の脆弱性が修正されます。2018年6月28日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。
SUPEE-10752の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- 管理画面に対するリモートコード実行
- 管理画面でのデータ表示に関するXSS
- CSRF
- SQLインジェクション
今回はリモートコード実行やクロス・サイト・スクリプティング(XSS)だけでなく、SQLインジェクションやCSRFが含まれており、特に管理画面関連の修正が多いため、注意が必要です。
修正される脆弱性・不具合
では、SUPEE-10752で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは23件の脆弱性・不具合が修正されています。
危険度「高」以上が6件、「中」が16件含まれています。特にリモートコード実行やSQLインジェクションが含まれているため可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-2015 | 新規注文作成過程におけるリモートコード実行 | リモートコード実行 | 9.8(高) | EE 1.14.3.9 |
| APPSEC-2042 | 管理画面のターゲットルール機能におけるリモートコード実行 | リモートコード実行 | 8.9(高) | EE 1.14.3.9 |
| APPSEC-2029 | 管理画面のターゲットルール機能におけるPHPオブジェクトインジェクション | リモートコード実行 | 8.9(高) | EE 1.14.3.9 |
| APPSEC-2007 | カテゴリ保存処理におけるSQLインジェクション | SQLインジェクション | 8.2(高) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-2027 | ウェブサイト・ストア・ストアビューに対するCSRF | CSRF | 7.4(高) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1882 | cron.phpにおけるデータベース接続情報の漏洩 | 情報漏えい | 7.4(高) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-2006 | 管理者アクションログ機能におけるXSS | XSS | 6.5(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-2005 | 配送方法設定画面における権限不備を原因としたXSS | XSS | 6.5(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1880 | CMSリビジョンエディタにおける管理ユーザー名のXSS | XSS | 6.3(中) | EE 1.14.3.9 |
| APPSEC-2004 | WYSIWYGエディタにおけるリモートファイル読み込みでのXSS | XSS | 6.3(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1988 | テンプレートファイルおけるパストラバーサル | パストラバーサル | 6.3(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1987 | 注文確認画面でのURLパラメータを介したXSS | XSS | 6.1(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-2034 | コンフィグ商品作成時の不正ファイル混入による注文作成時のXSS | XSS | 5.0(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1876 | セット商品作成時の商品SKUを起因としたXSS | XSS | 5.0(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1874 | ギフトレジストリ管理画面における属性グループ編集時のXSS | XSS | 5.0(中) | EE 1.14.3.9 |
| APPSEC-1872 | カタログイベント一覧のカテゴリ名におけるXSS | XSS | 5.0(中) | EE 1.14.3.9 |
| APPSEC-1928 | ダウンロード商品のリンクタイトルにおけるXSS | XSS | 5.0(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1871 | ポイント履歴管理画面における加算理由フィールドのXSS | XSS | 5.0(中) | EE 1.14.3.9 |
| APPSEC-1870 | 招待者管理画面における招待者メールアドレスのXSS | XSS | 5.0(中) | EE 1.14.3.9 |
| APPSEC-1972/2103 | 管理者パスワード変更による既存ログインセッションの終端不備 | 権限昇格 | 4.3(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1934 | チェックアウト画面でのワンタイムトークン不備によるCSRF | CSRF | 4.3(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1917 | 外部ビデオファイルアップロードにおける認証情報の漏洩 | 設定不備 | 4.3(中) | CE 1.9.3.9 EE 1.14.3.9 |
| APPSEC-1993 | IPスプーフィング | 権限昇格 | 3.7(低) | CE 1.9.3.9 EE 1.14.3.9 |
SUPEE-10752を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
適用時の注意
SUPEE-10752を適用する際は、1つ前のパッチであるSUPEE-10570v2が正しく適用されているかどうかを確認してください。
SUPEE-10570にはv1とv2が存在し、v1が適用されている環境にはSUPEE-10752は適用できません。
SUPEE-10570v1が適用されている環境の場合は、一旦SUPEE-10570v1の適用を巻き戻した上で、SUPEE-10570v2を適用してください。
その上でSUPEE-10752を適用しないと、正しく適用ができません。
PHP5.3環境の場合
CentOS6などの環境では、標準のPHPパッケージは5.3が用いられています。
PHP5.5や5.6にアップデートされている場合は問題ありませんが、PHP5.3環境の場合はSUPEE-10752を適用するとエラーが発生します。
この場合は、適用したパッチを一旦巻き戻した上で、専門の技術者にご相談ください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。
