Magento1.5以降を対象としたセキュリティパッチSUPEE-10975が公開されました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-10975」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、リモートコード実行やCSRFを含む19件の脆弱性が修正されます。2018年11月29日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。
SUPEE-10975の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- リモートコード実行
- クロス・サイト・スクリプティング
- クロス・サイト・リクエスト・フォージェリ(CSRF)
- PCI-DSS対応として、保存済みクレジットカードの機能を廃止
修正される脆弱性・不具合
では、SUPEE-10975で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは19件の脆弱性・不具合が修正されています。
危険度「中」が5件含まれています。今回は高レベルの脆弱性はありませんが、Magentoを狙ったマルウェアも横行していますので、可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| PRODSECBUG-1589 | 管理画面RSS購読機能に対する総当たり攻撃 | 総当たり攻撃 | 9.0(高) | EE 1.14.4.0 CE 1.9.4.0 |
| MAG-23 | 保存済みクレジットカードによる決済の廃止 | PCI準拠 | 9.0(高) | EE 1.14.4.0 CE 1.9.4.0 |
| PRODSECBUG-2149 | 顧客情報インポートにおけるリモートコード実行 | リモートコード実行 | 8.5(高) | EE 1.14.4.0 CE 19.4.0 |
| PRODSECBUG-2159 | APIベースのリモートコード実行 | リモートコード実行 | 8.5(高) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2156 | 未認証のアップロードにおけるリモートコード実行 | リモートコード実行 | 8.5(高) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2155 | データフローインポートを介したリモートコード実行 | リモートコード実行 | 8.5(高) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2053 | ニュースレターテンプレートにおけるXSS | XSS | 6.5(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2142 | CMS機能のプレビューにおけるXSS | XSS | 6.5(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-1860 | 管理画面での不正なファイル名のアップロードによるXSS | XSS | 6.5(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2119 | 未エスケープ文字列への対処 | 不十分なデータ保護 | 6.5(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2129 | GoogleAnalytics連携でのXSS | XSS | 6.5(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2129 | 欲しいものリスト共有における総当たり攻撃 | 総当たり攻撃 | 5.3(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2104 | 「友だちに送る 」機能の脆弱性 | 総当たり攻撃 | 5.3(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2125 | ブロックの削除におけるCSRF | CSRF | 4.2(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2088 | 顧客グループ削除におけるCSRF | CSRF | 4.2(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2140 | サイトマップ削除におけるCSRF | CSRF | 4.2(中) | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2108 | jQueryの更新 | PCI準拠 | - | CE 1.9.4.0 EE 1.14.4.0 |
| MAG-12, MAG-2 | バックアップに対するパスワードの設置 | 情報漏えい | - | CE 1.9.4.0 EE 1.14.4.0 |
| PRODSECBUG-2141 | 未認証の管理者による管理画面へのアクセス | 権限昇格 | - | CE 1.9.4.0 EE 1.14.4.0 |
SUPEE-10975を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。
