質問 > その他 > EC-CUBEの脆弱性に関して |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
micro |
投稿日時: 2011/5/11 11:33
対応状況: −−−
|
新米 登録日: 2011/3/24 居住地: 渋谷 投稿: 8 |
EC-CUBEの脆弱性に関して JVNから下記のようなEC-CUBEの脆弱性に関する報告がありました。
http://jvn.jp/jp/JVN37878530/ こちらに掲載されている対策方法が 「開発者が提供する情報をもとに、最新版へアップデートしてください。」 とのことです。 いつもは株式会社ロックオン様から報告があって、 該当するファイルが改修されると思うのですが 今回はどのようになっているかご存知の方いらっしゃいますか? |
tao_s |
投稿日時: 2011/5/11 15:02
対応状況: −−−
|
仙人 登録日: 2008/8/20 居住地: 東京 投稿: 799 |
Re: EC-CUBEの脆弱性に関して 株式会社ロックオン様からは2.4から2.11へのデータ移行ツールがリリースされています。
それを使ってバージョンアップしましょう!と言う事だと思います。 http://www.ec-cube.net/press/detail.php?press_id=114
|
Masashige |
投稿日時: 2011/5/11 18:12
対応状況: −−−
|
長老 登録日: 2009/4/1 居住地: 投稿: 200 |
Re: EC-CUBEの脆弱性に関して すいません、この件の2.4系の修正ファイルはリリースされる
予定はありますでしょうか? |
micro |
投稿日時: 2011/5/11 19:03
対応状況: −−−
|
新米 登録日: 2011/3/24 居住地: 渋谷 投稿: 8 |
Re: EC-CUBEの脆弱性に関して ↑そうですね。
私も2.4系の修正ファイルのリリースを期待しています。 そもそも脆弱性に関する報告自体も明確ではないので 株式会社ロックオン様からのリリースが欲しいですね。 |
nanasess |
投稿日時: 2011/5/11 20:36
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2313 |
Re: EC-CUBEの脆弱性に関して ちなみに, 管理画面では, SC_Utils::sfIsSuccess() で HTTP_REFERER もチェックしているので, リファラの送出を無効にしないと攻撃が成立しませんね.
|
ANRI |
投稿日時: 2011/5/11 20:49
対応状況: −−−
|
新米 登録日: 2010/2/12 居住地: 投稿: 10 |
Re: EC-CUBEの脆弱性に関して そう言えば、tao_sさんのブログで対応方法のが書いてありましたね。
参考まで、勝手ながら載せさせていただきます。 http://d.hatena.ne.jp/xross-cube/20110511/p1 ちなみに、脆弱性の詳細内容とnanasessさんの仰る内容を総合すると、ほぼ発生しないんじゃないでしょうかね。 脆弱性としてはあるのはあるんでしょうけど。 それに対して、この修正方法の労力は私ならかけませんけどね(^_^;) たぶん、あんまり大げさに考えなくてもいいと個人的には思います。 (大げさにされると私の担当するサイトも色々対応しないといけなくなりそうですので。。。) |
ANRI |
投稿日時: 2011/5/12 21:50
対応状況: −−−
|
新米 登録日: 2010/2/12 居住地: 投稿: 10 |
Re: EC-CUBEの脆弱性に関して 追記です!
nanasess様がブログ書かれてましたね。 ありがたいです。 http://d.hatena.ne.jp/nanasess/20110512/1305192425 CSRFの対応は2.4.4以前のソースでもほぼ対応されてるみたいですね。 確かに、ソースありました! (暫定対応みたいですけど、ほぼ管理画面以外からのポストは受け付けないってことですよね。) ブラウザのリファラ送出がONになっている場合はJVNの勧告通りの攻撃(この攻撃自体、相当難易度高いですけどw)をされたとしても、何にも問題ないみたいです。 まあ、根本対応ではないと思うのですが、2.11にアップデートしたり、ソースの修正を行ったりは結構手間なので、色々安心しました。 うちはもし問い合わせがきたらリファラの設定を確認してもらうようにしようと思います。 nanasess様ありがとうございます! |
ECCUORE |
投稿日時: 2011/5/13 9:19
対応状況: −−−
|
長老 登録日: 2009/10/22 居住地: 東京 投稿: 248 |
Re: EC-CUBEの脆弱性に関して IPAさんはツールチェックとかで、脆弱性として認識したのでしょうかね。
公に報告するのであれば、REFERER の件に触れてほしいですよね。 「店舗管理者の利用するブラウザでREFERERの送出を有効にする事で、脆弱性に対応できる。」とか。 各ブラウザのREFERER設定のキャプチャとか載せてくれると尚良し(笑)
|
KAJI |
投稿日時: 2011/5/13 20:19
対応状況: −−−
|
一人前 登録日: 2008/1/24 居住地: 投稿: 121 |
Re: EC-CUBEの脆弱性に関して 株式会社ロックオンの梶原でございます。
EC-CUBE2.4.4以前のバージョンにおける、CSRFの脆弱性に関しまして、ご心配とご迷惑をおかけしており、申し訳ございません。 まず、脆弱性の告知から少しご回答に時間がかかりましたこと、お詫び申し上げます。 今回JVNより発表がございましたCSRFの脆弱性に関しましては、2.4系以下のバージョンでも元々ある程度の対応がなされているということもあり、攻撃の難易度が非常に高いものになります。 また、現時点において改ざんされたという具体的な報告はございません。 上記を踏まえまして、冷静にご判断とご対応をお願いいたします。 以下、対応方法を記載させていただきますので、ご対応される場合の参考にしていただき、状況に応じてご対応くださいませ。 1) 2.11系にバージョンアップしてください(推奨対応) 2.11系にて本脆弱性の根本的な対応を実施しております。 バージョンアップしていただくにあたり、データ移行ツールもご用意しておりますので、ご活用くださいませ。 データエクスポートモジュール(2.4系) 2.4系のEC-CUBEより商品、顧客、受注情報の出力が可能です。 データインポートモジュール(2.11系) 2.11系のEC-CUBEに上記出力した情報を取り込むことが可能です。 2) 1)2.11系へのバージョンアップ が難しい場合の対応 本スレッドの書込みにもございますが、tao_s様始め、有志で対応策を公開していただいております。 これらを参照していただき、状況に応じて個別でのご対応をお願いいたします。 ※現状、株式会社ロックオンより、2.4以下バージョンに対するパッチ提供を行う予定はございません。 ご了承くださいませ。 3) 1)バージョンアップや2)個別での修正対応 が難しい場合の暫定対応 環境に依存する可能性はございますが、2.4系以下バージョンにおいて本脆弱性の暫定対応が可能です。 「ブラウザのリファラ送出がされない場合にエラーを表示する」よう修正対応を行ってください。 想定される攻撃ケースのほとんどはこちらで対応が可能と思われます。 ただし、本修正対応ではブラウザの設定や運用環境等により予期せぬ事象が発生する場合がございます。 ご確認いただき、自己判断にてご対応をお願いいたします。 暫定対応例: data/class/util/SC_Utils.php function sfIsSuccess のリファラチェック部分にてエラーチェックを追記する。 200行目以降付近「リファラ無」のif文内にエラー表示のソースを追記。
本脆弱性の対応をされる場合は、上記をご確認いただき、環境に応じたご対応をお願いいたします。 それでは、ご迷惑をおかけしておりますが、よろしくお願いいたします。 |
micro |
投稿日時: 2011/5/14 21:37
対応状況: −−−
|
新米 登録日: 2011/3/24 居住地: 渋谷 投稿: 8 |
Re: EC-CUBEの脆弱性に関して 多くのレス、ありがとうございます。
皆様からご提案いただいている対応方法を元に検討させていただきます。 ありがとうございました。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |