Magento1.5以降を対象としたセキュリティパッチSUPEE-11155が公開されました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-11155」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、リモートコード実行やCSRFを含む44件の脆弱性が修正されます。2019年6月26日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。
SUPEE-11155の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- リモートコード実行
- クロス・サイト・スクリプティング
- クロス・サイト・リクエスト・フォージェリ(CSRF)
- 情報漏えい
- 暗号化の不備
- 権限昇格
修正される脆弱性・不具合
では、SUPEE-11155で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは44件の脆弱性・不具合が修正されますが、その中にはCVSS v3におけるリスクレベル7以上がが11件含まれています。Magentoを狙ったマルウェアも横行していますので、可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| PRODSECBUG-2289 | 拡張管理者ログ設定によるリモートコード実行 | リモートコード実行 | 9.1 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2262 | 不正なデータフロープロファイルを介したリモートコード実行 | リモートコード実行 | 9.1 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2351 | 細工されたサイトマップ生成によるリモートコード実行 | リモートコード実行 | 9.0 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2324 | 通貨セットアップ機能へのPHPオブジェクトインジェクションを介したリモートコード実行 | リモートコード実行 | 9.0 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2382 | 管理者アクションログにおけるPHPオブジェクトインジェクションを介したリモートコード実行 | リモートコード実行 | 8.7 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2312 | デザインパッケージにおけるPHPオブジェクトを介したリモートコード実行 | リモートコード実行 | 8.7 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2311 | Enterprise Logging機能におけるPHPオブジェクト介したリモートコード実行 | リモートコード実行 | 8.7 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2431 | データフローインポートとカタログ機能を介したリモートコード実行 | リモートコード実行 | 8.4 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2320 | 安全でないシステム設定値の取り扱いによるリモートコード実行 | リモートコード実行 | 7.9 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2319 | 決済モジュールにおける安全でない値の取り扱いによるリモートコード実行 | リモートコード実行 | 7.9 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2313 | 設定フィールド値の安全でないデシリアライズ処理によるリモートコード実行 | リモートコード実行 | 7.6 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2317 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2226 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2352 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2334 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2333 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2275 | メールテンプレート編集での安全でない機能によるデータ改変 | インジェクション | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2299 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2304 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2303 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2234 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2380 | 通貨記号フィールドにおける保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2353 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2363 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2371 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2378 | 返品商品コメント機能の保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2369 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2068 | 管理画面における保存されたデータに起因するXSS | XSS | 5.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2295 | ギフトカードコード生成における不十分な強度の乱数発生器の使用 | 暗号化の不備 | 5.3 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2300 | 不適切な値検証による無効化商品の情報漏えい | 情報漏えい | 5.3 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2241 | 「友だちに教える」機能の悪用によるスパム送信 | 機能の悪用 | 5.3 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2270 | 管理画面におけるXSS | XSS | 5.0 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2282 | CSRFによる利用規約データの削除 | CSRF | 5.0 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2246 | WYSIWYGエディタにおける保存されたデータに起因するXSS | XSS | 4.8 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2395 | 特定のエラー条件時に顧客パスワードが暗号化されずに記録される | 暗号化の不備 | 4.5 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2301 | 不適切な値検証による無効化商品の商品名漏洩 | 情報漏えい | 4.3 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2331 | アカウント作成時の不十分な強度のパスワード要求 | 暗号化の不備 | 4.3 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2095 | サードパーティ製チェックアウト機能におけるセッション検証の不備 | 権限昇格 不適切な認証 |
3.7 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2330 | 安全でないユーザー情報の保存方法 | 暗号化の不備 | 3.7 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2329 | 安全でない乱数発生器による乱数生成の問題 | 暗号化の不備 | 3.7 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-1912 | ギフトレジストリ受信側での権限のないデータ削除 | 権限昇格 | 3.7 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2387 | ギフトカード削除処理におけるCSRF | CSRF | 3.1 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2305 | レビュー削除におけるCSRF | CSRF | 2.2 | CE 1.9.4.2 EE 1.14.4.2 |
| PRODSECBUG-2372 | 通貨セットアップ機能におけるPHPオブジェクトインジェクションを介したリモートコード実行 | リモートコード実行 | なし | CE 1.9.4.2 EE 1.14.4.2 |
SUPEE-11155を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
なお、弊社でMagento保守サービスをご契約のお客様につきましては、すでに適用が完了しておりますのでご安心ください。
