Magento1.5以降を対象としたセキュリティパッチSUPEE-10888が公開されました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10888」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、23件の脆弱性が修正されます。2018年9月19日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。
SUPEE-10888の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- XMLインジェクション
- 管理画面でのクロス・サイト・スクリプティング
- 権限昇格・情報漏えい
今回は管理画面関連の修正と、パスワード関連の改良が含まれている点に注意が必要です。
修正される脆弱性・不具合
では、SUPEE-10888で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは11件の脆弱性・不具合が修正されています。
危険度「中」が5件含まれています。今回は高レベルの脆弱性はありませんが、Magentoを狙ったマルウェアも横行していますので、可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-2061 | レイアウトの挿入による権限のないデータへのアクセス | XMLインジェクション | 6.9(中) | EE 1.14.3.10 CE 1.9.3.10 |
| APPSEC-1971 | 管理画面におけるリフレクション型XSS | XSS | 6.1(中) | EE 1.14.3.10 CE 1.9.3.10 |
| APPSEC-2067 | 管理画面におけるカスタム属性ラベルのXSS | XSS | 5.9(中) | EE 1.14.3.10 CE 19.3.10 |
| APPSEC-2066 | 管理画面におけるメディア属性ラベルのXSS | XSS | 5.9(中) | CE 1.9.3.10 EE 1.14.3.10 |
| APPSEC-2060 | レビュー機能における権限昇格 | 権限昇格 | 5.9(中) | CE 1.9.3.10 EE 1.14.3.10 |
| APPSEC-1859 | パスワードリセットURLに顧客IDが含まれる問題 | 情報漏えい | なし | CE 1.9.3.10 EE 1.14.3.10 |
| APPSEC-1730 | DownloaderがHTTPSを強制しない問題 | 改良 | なし | CE 1.9.3.10 EE 1.14.3.10 |
| APPSEC-1936 | 顧客パスワードの復元に関する問題 | 権限昇格 情報漏えい |
なし | CE 1.9.3.10 EE 1.14.3.10 |
| APPSEC-1933 | Moxieplayerによるリダイレクト | 設定の不備 | なし | CE 1.9.3.10 EE 1.14.3.10 |
| APPSEC-2002 | 新しい管理者アカウント作成時の通知メール | 機能追加 | なし | CE 1.9.3.10 EE 1.14.3.10 |
| APPSEC-1790 | ギフトカードレジストリに対するXMLインジェクション | XMLインジェクション | なし | CE 1.9.3.10 EE 1.14.3.10 |
SUPEE-10888を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。
