Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10752」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、23件の脆弱性が修正されます。2018年6月28日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。

SUPEE-10752の重要なポイント

Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。

  • 管理画面に対するリモートコード実行
  • 管理画面でのデータ表示に関するXSS
  • CSRF
  • SQLインジェクション

今回はリモートコード実行やクロス・サイト・スクリプティング(XSS)だけでなく、SQLインジェクションやCSRFが含まれており、特に管理画面関連の修正が多いため、注意が必要です。

修正される脆弱性・不具合

では、SUPEE-10752で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは23件の脆弱性・不具合が修正されています。
危険度「高」以上が6件、「中」が16件含まれています。特にリモートコード実行やSQLインジェクションが含まれているため可能な限り速やかにパッチを適用することが望ましいといえます。

SUPEE-10752で修正される脆弱性
脆弱性番号概要種別CVSS v3 リスクレベル対象バージョン
APPSEC-2015 新規注文作成過程におけるリモートコード実行 リモートコード実行 9.8(高)  EE 1.14.3.9
APPSEC-2042 管理画面のターゲットルール機能におけるリモートコード実行 リモートコード実行 8.9(高)  EE 1.14.3.9
APPSEC-2029 管理画面のターゲットルール機能におけるPHPオブジェクトインジェクション リモートコード実行 8.9(高) EE 1.14.3.9
APPSEC-2007 カテゴリ保存処理におけるSQLインジェクション SQLインジェクション 8.2(高) CE 1.9.3.9
EE 1.14.3.9 
APPSEC-2027 ウェブサイト・ストア・ストアビューに対するCSRF CSRF 7.4(高) CE 1.9.3.9
EE 1.14.3.9 
APPSEC-1882 cron.phpにおけるデータベース接続情報の漏洩 情報漏えい 7.4(高) CE 1.9.3.9
EE 1.14.3.9
APPSEC-2006 管理者アクションログ機能におけるXSS XSS 6.5(中) CE 1.9.3.9
EE 1.14.3.9 
APPSEC-2005 配送方法設定画面における権限不備を原因としたXSS XSS 6.5(中) CE 1.9.3.9
EE 1.14.3.9 
APPSEC-1880 CMSリビジョンエディタにおける管理ユーザー名のXSS XSS 6.3(中) EE 1.14.3.9
APPSEC-2004 WYSIWYGエディタにおけるリモートファイル読み込みでのXSS XSS 6.3(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-1988 テンプレートファイルおけるパストラバーサル パストラバーサル 6.3(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-1987 注文確認画面でのURLパラメータを介したXSS XSS 6.1(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-2034 コンフィグ商品作成時の不正ファイル混入による注文作成時のXSS XSS 5.0(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-1876 セット商品作成時の商品SKUを起因としたXSS XSS 5.0(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-1874 ギフトレジストリ管理画面における属性グループ編集時のXSS XSS 5.0(中) EE 1.14.3.9
APPSEC-1872 カタログイベント一覧のカテゴリ名におけるXSS XSS 5.0(中) EE 1.14.3.9
APPSEC-1928 ダウンロード商品のリンクタイトルにおけるXSS XSS 5.0(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-1871 ポイント履歴管理画面における加算理由フィールドのXSS XSS 5.0(中) EE 1.14.3.9
APPSEC-1870 招待者管理画面における招待者メールアドレスのXSS XSS 5.0(中) EE 1.14.3.9
APPSEC-1972/2103 管理者パスワード変更による既存ログインセッションの終端不備 権限昇格 4.3(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-1934 チェックアウト画面でのワンタイムトークン不備によるCSRF CSRF 4.3(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-1917 外部ビデオファイルアップロードにおける認証情報の漏洩 設定不備 4.3(中) CE 1.9.3.9
EE 1.14.3.9
APPSEC-1993 IPスプーフィング 権限昇格 3.7(低) CE 1.9.3.9
EE 1.14.3.9

SUPEE-10752を入手するには

Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。

適用時の注意

SUPEE-10752を適用する際は、1つ前のパッチであるSUPEE-10570v2が正しく適用されているかどうかを確認してください。
SUPEE-10570にはv1とv2が存在し、v1が適用されている環境にはSUPEE-10752は適用できません。

SUPEE-10570v1が適用されている環境の場合は、一旦SUPEE-10570v1の適用を巻き戻した上で、SUPEE-10570v2を適用してください。
その上でSUPEE-10752を適用しないと、正しく適用ができません。

PHP5.3環境の場合

CentOS6などの環境では、標準のPHPパッケージは5.3が用いられています。
PHP5.5や5.6にアップデートされている場合は問題ありませんが、PHP5.3環境の場合はSUPEE-10752を適用するとエラーが発生します。

この場合は、適用したパッチを一旦巻き戻した上で、専門の技術者にご相談ください。

パッチの適用が難しい方へ

弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。

なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。