質問 > その他 > ec-cubeの脆弱性アップデートについて |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
kicks |
投稿日時: 2013/5/29 1:21
対応状況: 確認中
|
常連 登録日: 2012/5/15 居住地: 投稿: 56 |
ec-cubeの脆弱性アップデートについて 脆弱性のアップデートについてのご質問です。
定期的に脆弱性がみられる事は仕方ないとはおもいますが、 アップデートファイルが脆弱性を解消したというログなどはアップデートファイルに書き換えたあと確認できるものなのでしょうか? 修正は行なっていますが、クライアント様が本ソフトウェアに対して少々不安な状況となっているので技術的に証明できる何かがあればとおもい質問致しました。 また、 EC-CUBE2.12.2 ⇒2.12.3修正ファイル(eccube-2.12.2_2.12.3-update.zip) 上記ファイルのみ他のアップデートファイルより数がとても多いのですがこちらは単純に間違いなのでしょうか? ※他のバージョンの場合は10ファイル程度 テストというフォルダなどが入っているのでよくわからない状況です・・・ |
seasoft |
投稿日時: 2013/5/29 1:41
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: ec-cubeの脆弱性アップデートについて > アップデートファイルが脆弱性を解消したというログなどはアップデートファイルに書き換えたあと確認できるものなのでしょうか?
ロジックに関しては、カスタマイズによって行うことは可能です。 テンプレートは難しいですね・・・ できなくもないのですが、プラグインが絡んだりすると、そういった手法の有効性が揺らぐ場合もあります。 > 修正は行なっていますが、クライアント様が本ソフトウェアに対して少々不安な状況となっているので技術的に証明できる何かがあればとおもい質問致しました。 幾つか手法はありますが、変更前に脆弱性を突ける事を立証し、変更後に突けない事を立証するのが、一般的な方法の中では有力だと思います。 このフォーラムに書けるような話題では無くなってしまいますが・・・ > また、 > EC-CUBE2.12.2 ⇒2.12.3修正ファイル(eccube-2.12.2_2.12.3-update.zip) > 上記ファイルのみ他のアップデートファイルより数がとても多いのですがこちらは単純に間違いなのでしょうか? 詳細な説明は省きますが、脆弱性対応とは若干違うものかと思います。
|
AMUAMU |
投稿日時: 2013/5/30 19:06
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: ec-cubeの脆弱性アップデートについて 下記のページでも紹介されている拙作のアップデートプログラムを使うと、
・更新した記録のログ ・各ファイルにそのための差分が当たったことの記録 ・アップデートプログラムを適用後、再度アップデートプログラムを利用しようとすると「修正適用済みです」という案内が出ます。 既にアップデート済みということですが、こういう手段もあるという事で・・・
|
kicks |
投稿日時: 2013/5/30 22:49
対応状況: −−−
|
常連 登録日: 2012/5/15 居住地: 投稿: 56 |
Re: ec-cubeの脆弱性アップデートについて seasoftさま
いつもありがとうございます。 ロジックに関しては、カスタマイズによって行うことは可能です。 テンプレートは難しいですね・・・ できなくもないのですが、プラグインが絡んだりすると、そういった手法の有効性が揺らぐ場合もあります。 >> プラグインが絡むと有効性が揺らぐというのは厄介ですね・・・ > また、 > EC-CUBE2.12.2 ⇒2.12.3修正ファイル(eccube-2.12.2_2.12.3-update.zip) > 上記ファイルのみ他のアップデートファイルより数がとても多いのですがこちらは単純に間違いなのでしょうか? 詳細な説明は省きますが、脆弱性対応とは若干違うものかと思います。 >> という事は根本的にこのダウンロードファイルが誤っていると認識した方がよさそうですね。 困る方が大勢いそうですが、正規のものへと変更される事を願うばかりです。 |
kicks |
投稿日時: 2013/5/30 22:53
対応状況: 解決済
|
常連 登録日: 2012/5/15 居住地: 投稿: 56 |
Re: ec-cubeの脆弱性アップデートについて AMUAMUさま
ありがとうございます。 ・更新した記録のログ ・各ファイルにそのための差分が当たったことの記録 ・アップデートプログラムを適用後、再度アップデートプログラムを利用しようとすると「修正適用済みです」という案内が出ます。 >> ありがとうございます。 アップデートプログラムは運営中のものだと影響がでる可能性もあるのでまだ適用しておりませんが、テスト環境でためしてみたいとおもいます。 ただ、アップデートされている事は確認できるが脆弱性の根本解決になっているかどうかは別という事にもなるのですかね・・・ EC-CUBEは便利で今後も使いたいとおもっていますがで悩ましいところです。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |