Magento1.5以降を対象にしたセキュリティパッチ・SUPEE-9767が公開されました
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento1.5以降に対するセキュリティパッチのリリースが行われました。
新たにリリースされたセキュリティパッチ「SUPEE-9767」はMagento Community Edition 1.5.0.1以降のバージョンが対象となっており、適用の緊急度は相当高く設定されています。
SUPEE-9767の重要なポイント
Magentoのセキュリティ関連の情報を扱う、「Security Center」では、このセキュリティパッチの適用によって、主に以下の脆弱性が修正されるとしています。
- シンボリックリンクを介したリモートコード実行
- データフローにおけるリモートコード実行
- 管理画面におけるリモートコード実行
- ビジュアルマーチャンダイザーにおけるSQLインジェクション(Enterprise Editionのみ)
- 管理画面データ項目におけるクロスサイト・スクリプティング
- 管理画面設定項目におけるクロスサイト・スクリプティング
- 管理画面ログアウト後のクロスサイトリクエストフォージェリ
- 管理者権限の意図しない昇格によるシステム設定変更権限の奪取
- データフローにおけるローカルファイル漏洩
- チェックアウト失敗時のクロスサイトリクエストフォージェリ
- ユーザー名偽装の可能性
- キャッシュ管理におけるクロスサイトリクエストフォージェリ
- ログファイルにおける顧客パスワードの漏洩の可能性
- 招待機能におけるクロスサイトリクエストフォージェリ(Enterprise Editionのみ)
- Javascriptライブラリにおける脆弱性
- 不正なルーティングによる問題
今回はリモートコード実行やクロスサイトリクエストフォージェリが多く含まれており、特に管理画面関連の修正が多いため、注意が必要です。
修正される脆弱性・不具合
では、SUPEE-9767で修正される脆弱性を個別に取り上げていきましょう。
このパッチでは16件の脆弱性・不具合が修正されています。
危険度「高」以上が7件、「中」が6件含まれています。特にリモートコード実行やSQLインジェクションは危険なので、可能な限り速やかにパッチを適用することが望ましいといえます。
| 脆弱性番号 | 概要 | 種別 | CVSS v3 リスクレベル | 対象バージョン |
|---|---|---|---|---|
| APPSEC-1281 | シンボリックリンクを介したリモートコード実行 | リモートコード実行 | 8.8(高) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1777 | データフローにおけるリモートコード実行 | リモートコード実行 | 8.8(高) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1686 | 管理画面におけるリモートコード実行 | リモートコード実行 | 8.8(高) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1320 | ビジュアルマーチャンダイザーにおけるSQLインジェクション | SQLインジェクション | 8.8(高) | EE 1.14.3.2 |
| APPSEC-1634 | 管理画面データ項目におけるクロスサイト・スクリプティング | XSS | 8.7(高) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1759 | 管理画面設定項目におけるクロスサイト・スクリプティング | XSS | 8.1(高) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1549 | 管理画面ログアウト後のクロスサイトリクエストフォージェリ | CSRF | 8.0(高) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1693 | 管理者権限の意図しない昇格によるシステム設定変更権限の奪取 | 権限昇格 | 6.5(中) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1677 | データフローにおけるローカルファイル漏洩 | 情報漏えい | 6.5(中) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1546 | チェックアウト失敗時のクロスサイトリクエストフォージェリ | CSRF | 6.1(中) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1597 | ユーザー名偽装の可能性 | データ保護の不備 | 5.3(中) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1695 | キャッシュ管理におけるクロスサイトリクエストフォージェリ | CSRF | 4.7(中) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1324 | ログファイルにおける顧客パスワードの漏洩の可能性 | 情報漏えい | 4.4(中) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1675 | 招待機能におけるクロスサイトリクエストフォージェリ | CSRF | 3.4(低) | EE 1.14.3.2 |
| APPSEC-1659 | Javascriptライブラリにおける脆弱性 | その他の脆弱性 | 0(低) | CE 1.9.3.2 EE 1.14.3.2 |
| APPSEC-1622 | 不正なルーティングによる問題 | 機能の悪用 | 0(低) | CE 1.9.3.2 EE 1.14.3.2 |
SUPEE-9767を入手するには
Magento1.xのセキュリティパッチは、公式サイトのダウンロードページから入手できます。
適用対象サイトのバージョンに合ったパッチをダウンロードして、適用してください。
SUPEE-9767を適用する際の注意点
このセキュリティパッチは比較的大きいパッチです。
Magento公式でもアナウンスがされていますが、このパッチを稼働中サイトに対して適用する場合には以下のシステム設定を無効化してから行うことが推奨されています。
システム>設定>開発者向け>シンボリックリンクを有効にする
この機能が有効になっている場合、サーバー上の設定ファイルがパッチ適用によって上書きされてしまう恐れがあります。
ご注意ください。
パッチの適用が難しい方へ
弊社では自力でのセキュリティパッチの適用が難しい方に対し、パッチ適用を行うサービスをご提供しております。
ご不安な場合はお問い合わせ下さい。
