脆弱性のアップデートについてのご質問です。

定期的に脆弱性がみられる事は仕方ないとはおもいますが、
アップデートファイルが脆弱性を解消したというログなどはアップデートファイルに書き換えたあと確認できるものなのでしょうか？

修正は行なっていますが、クライアント様が本ソフトウェアに対して少々不安な状況となっているので技術的に証明できる何かがあればとおもい質問致しました。

また、
EC-CUBE2.12.2 ⇒2.12.3修正ファイル(eccube-2.12.2_2.12.3-update.zip)
上記ファイルのみ他のアップデートファイルより数がとても多いのですがこちらは単純に間違いなのでしょうか？
※他のバージョンの場合は10ファイル程度

テストというフォルダなどが入っているのでよくわからない状況です・・・

> アップデートファイルが脆弱性を解消したというログなどはアップデートファイルに書き換えたあと確認できるものなのでしょうか？

ロジックに関しては、カスタマイズによって行うことは可能です。

テンプレートは難しいですね・・・ できなくもないのですが、プラグインが絡んだりすると、そういった手法の有効性が揺らぐ場合もあります。


> 修正は行なっていますが、クライアント様が本ソフトウェアに対して少々不安な状況となっているので技術的に証明できる何かがあればとおもい質問致しました。

幾つか手法はありますが、変更前に脆弱性を突ける事を立証し、変更後に突けない事を立証するのが、一般的な方法の中では有力だと思います。

このフォーラムに書けるような話題では無くなってしまいますが・・・


> また、
> EC-CUBE2.12.2 ⇒2.12.3修正ファイル(eccube-2.12.2_2.12.3-update.zip)
> 上記ファイルのみ他のアップデートファイルより数がとても多いのですがこちらは単純に間違いなのでしょうか？

詳細な説明は省きますが、脆弱性対応とは若干違うものかと思います。

----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

下記のページでも紹介されている拙作のアップデートプログラムを使うと、
・更新した記録のログ
・各ファイルにそのための差分が当たったことの記録
・アップデートプログラムを適用後、再度アップデートプログラムを利用しようとすると「修正適用済みです」という案内が出ます。

既にアップデート済みということですが、こういう手段もあるという事で・・・

----------------
EC-CUBE公式エヴァンジェリスト
EC-CUBEインテグレートパートナー (株)スピリット・オブ
移転・拡張・高速化・問題解決
各種カスタマイズ・支援依頼承ります。
[url=h

seasoftさま
いつもありがとうございます。

ロジックに関しては、カスタマイズによって行うことは可能です。

テンプレートは難しいですね・・・ できなくもないのですが、プラグインが絡んだりすると、そういった手法の有効性が揺らぐ場合もあります。
>>
プラグインが絡むと有効性が揺らぐというのは厄介ですね・・・


> また、
> EC-CUBE2.12.2 ⇒2.12.3修正ファイル(eccube-2.12.2_2.12.3-update.zip)
> 上記ファイルのみ他のアップデートファイルより数がとても多いのですがこちらは単純に間違いなのでしょうか？

詳細な説明は省きますが、脆弱性対応とは若干違うものかと思います。

＞＞
という事は根本的にこのダウンロードファイルが誤っていると認識した方がよさそうですね。

困る方が大勢いそうですが、正規のものへと変更される事を願うばかりです。

AMUAMUさま
ありがとうございます。

・更新した記録のログ
・各ファイルにそのための差分が当たったことの記録
・アップデートプログラムを適用後、再度アップデートプログラムを利用しようとすると「修正適用済みです」という案内が出ます。
＞＞
ありがとうございます。
アップデートプログラムは運営中のものだと影響がでる可能性もあるのでまだ適用しておりませんが、テスト環境でためしてみたいとおもいます。

ただ、アップデートされている事は確認できるが脆弱性の根本解決になっているかどうかは別という事にもなるのですかね・・・

EC-CUBEは便利で今後も使いたいとおもっていますがで悩ましいところです。