Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-11219」はMagento Community Edition 1.5.0.0以降のバージョンが対象となっており、リモートコード実行やXSSを含む6件の脆弱性が修正されます。2019年10月9日現在ではこのセキュリティパッチによる修正対象の脆弱性を狙った攻撃は確認されていませんが、早急な適用が強く推奨されます。
SUPEE-11219の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- リモートコード実行
- クロス・サイト・スクリプティング
- 情報漏えい
加えられる仕様変更
SUPEE-11219を適用することで、一部の仕様が変更になります。
- パスワードの文字数に対する制限の変更
- システム設定値の更新日付フィールドの追加
- 一部のテンプレートに対するinput要素の定義変更など
テンプレートに対するパッチの影響範囲がフロントエンド側で特にカスタマイズの影響を受けやすい領域に集中しているため、パッチ適用後はサイトで使用されているテーマのファイルとの差分チェックが必要です。
修正される脆弱性・不具合
では、SUPEE-11219で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは6件の脆弱性・不具合が修正されますが、その中にはCVSS v3におけるリスクレベル7以上がが3件含まれています。Magentoを狙ったマルウェアも横行していますので、可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| PRODSECBUG-2462 | 管理画面のインポート機能を介したリモートコード実行 | リモートコード実行 | 9.1 | CE 1.9.4.3 EE 1.14.4.3 |
| PRODSECBUG-2443 | 細工されたサポート設定の改変によるリモートコード実行 | リモートコード実行 | 9.1 | CE 1.9.4.3 EE 1.14.4.3 |
| PRODSECBUG-2492 | 商品レイアウト更新におけるリモートコード実行 | リモートコード実行 | 9 | CE 1.9.4.3 EE 1.14.4.3 |
| PRODSECBUG-2445 | 不十分なログ記録と設定変更の監視 | その他 | 3.3 | CE 1.9.4.3 EE 1.14.4.3 |
| PRODSECBUG-2344 | WYSIWYGエディタを介したXSS | XSS | 4 | CE 1.9.4.3 EE 1.14.4.3 |
| PRODSECBUG-2328 | HTTPリクエスト内の機密情報漏えい | 情報漏えい | 5.4 | CE 1.9.4.3 EE 1.14.4.3 |
SUPEE-11219を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
