EC-CUBE 開発コミュニティ

質問 > その他 > EC-CUBEの脆弱性に関して

その他

投稿者	スレッド
micro	投稿日時: 2011/5/11 11:33 対応状況: −−−
新米登録日: 2011/3/24 居住地: 渋谷投稿: 8	EC-CUBEの脆弱性に関して JVNから下記のようなEC-CUBEの脆弱性に関する報告がありました。 http://jvn.jp/jp/JVN37878530/ こちらに掲載されている対策方法が「開発者が提供する情報をもとに、最新版へアップデートしてください。」とのことです。いつもは株式会社ロックオン様から報告があって、該当するファイルが改修されると思うのですが今回はどのようになっているかご存知の方いらっしゃいますか？

tao_s	投稿日時: 2011/5/11 15:02 対応状況: −−−
仙人登録日: 2008/8/20 居住地: 東京投稿: 799	Re: EC-CUBEの脆弱性に関して株式会社ロックオン様からは2.4から2.11へのデータ移行ツールがリリースされています。それを使ってバージョンアップしましょう！と言う事だと思います。 http://www.ec-cube.net/press/detail.php?press_id=114 ---------------- EC-CUBEカスタマイズ相談してください。緊急のEC-CUBEの障害対応 EC-CUBEカスタマイズブログ

Masashige	投稿日時: 2011/5/11 18:12 対応状況: −−−
長老登録日: 2009/4/1 居住地: 投稿: 200	Re: EC-CUBEの脆弱性に関してすいません、この件の2.4系の修正ファイルはリリースされる予定はありますでしょうか？

micro	投稿日時: 2011/5/11 19:03 対応状況: −−−
新米登録日: 2011/3/24 居住地: 渋谷投稿: 8	Re: EC-CUBEの脆弱性に関して ↑そうですね。私も2.4系の修正ファイルのリリースを期待しています。そもそも脆弱性に関する報告自体も明確ではないので株式会社ロックオン様からのリリースが欲しいですね。

nanasess	投稿日時: 2011/5/11 20:36 対応状況: −−−
神登録日: 2006/9/9 居住地: 投稿: 2313	Re: EC-CUBEの脆弱性に関してちなみに, 管理画面では, SC_Utils::sfIsSuccess() で HTTP_REFERER もチェックしているので, リファラの送出を無効にしないと攻撃が成立しませんね.

ANRI	投稿日時: 2011/5/11 20:49 対応状況: −−−
新米登録日: 2010/2/12 居住地: 投稿: 10	Re: EC-CUBEの脆弱性に関してそう言えば、tao_sさんのブログで対応方法のが書いてありましたね。参考まで、勝手ながら載せさせていただきます。 http://d.hatena.ne.jp/xross-cube/20110511/p1 ちなみに、脆弱性の詳細内容とnanasessさんの仰る内容を総合すると、ほぼ発生しないんじゃないでしょうかね。脆弱性としてはあるのはあるんでしょうけど。それに対して、この修正方法の労力は私ならかけませんけどね(^_^;) たぶん、あんまり大げさに考えなくてもいいと個人的には思います。（大げさにされると私の担当するサイトも色々対応しないといけなくなりそうですので。。。）

ANRI	投稿日時: 2011/5/12 21:50 対応状況: −−−
新米登録日: 2010/2/12 居住地: 投稿: 10	Re: EC-CUBEの脆弱性に関して追記です！ nanasess様がブログ書かれてましたね。ありがたいです。 http://d.hatena.ne.jp/nanasess/20110512/1305192425 CSRFの対応は2.4.4以前のソースでもほぼ対応されてるみたいですね。確かに、ソースありました！（暫定対応みたいですけど、ほぼ管理画面以外からのポストは受け付けないってことですよね。）ブラウザのリファラ送出がONになっている場合はJVNの勧告通りの攻撃（この攻撃自体、相当難易度高いですけどｗ）をされたとしても、何にも問題ないみたいです。まあ、根本対応ではないと思うのですが、2.11にアップデートしたり、ソースの修正を行ったりは結構手間なので、色々安心しました。うちはもし問い合わせがきたらリファラの設定を確認してもらうようにしようと思います。 nanasess様ありがとうございます！

ECCUORE	投稿日時: 2011/5/13 9:19 対応状況: −−−
長老登録日: 2009/10/22 居住地: 東京投稿: 248	Re: EC-CUBEの脆弱性に関して IPAさんはツールチェックとかで、脆弱性として認識したのでしょうかね。公に報告するのであれば、REFERER の件に触れてほしいですよね。「店舗管理者の利用するブラウザでREFERERの送出を有効にする事で、脆弱性に対応できる。」とか。各ブラウザのREFERER設定のキャプチャとか載せてくれると尚良し（笑） ---------------- EC CUORE 株式会社クオーレカスタマイズ御相談下さい。

KAJI	投稿日時: 2011/5/13 20:19 対応状況: −−−
一人前登録日: 2008/1/24 居住地: 投稿: 121	Re: EC-CUBEの脆弱性に関して株式会社ロックオンの梶原でございます。 EC-CUBE2.4.4以前のバージョンにおける、CSRFの脆弱性に関しまして、ご心配とご迷惑をおかけしており、申し訳ございません。まず、脆弱性の告知から少しご回答に時間がかかりましたこと、お詫び申し上げます。今回JVNより発表がございましたCSRFの脆弱性に関しましては、2.4系以下のバージョンでも元々ある程度の対応がなされているということもあり、攻撃の難易度が非常に高いものになります。また、現時点において改ざんされたという具体的な報告はございません。上記を踏まえまして、冷静にご判断とご対応をお願いいたします。以下、対応方法を記載させていただきますので、ご対応される場合の参考にしていただき、状況に応じてご対応くださいませ。 1) 2.11系にバージョンアップしてください（推奨対応） 2.11系にて本脆弱性の根本的な対応を実施しております。バージョンアップしていただくにあたり、データ移行ツールもご用意しておりますので、ご活用くださいませ。　データエクスポートモジュール（2.4系）　　2.4系のEC-CUBEより商品、顧客、受注情報の出力が可能です。　データインポートモジュール（2.11系）　　2.11系のEC-CUBEに上記出力した情報を取り込むことが可能です。 2) 1)2.11系へのバージョンアップが難しい場合の対応本スレッドの書込みにもございますが、tao_s様始め、有志で対応策を公開していただいております。これらを参照していただき、状況に応じて個別でのご対応をお願いいたします。 ※現状、株式会社ロックオンより、2.4以下バージョンに対するパッチ提供を行う予定はございません。　ご了承くださいませ。 3) 1）バージョンアップや2）個別での修正対応が難しい場合の暫定対応環境に依存する可能性はございますが、2.4系以下バージョンにおいて本脆弱性の暫定対応が可能です。「ブラウザのリファラ送出がされない場合にエラーを表示する」よう修正対応を行ってください。想定される攻撃ケースのほとんどはこちらで対応が可能と思われます。ただし、本修正対応ではブラウザの設定や運用環境等により予期せぬ事象が発生する場合がございます。ご確認いただき、自己判断にてご対応をお願いいたします。　暫定対応例：　data/class/util/SC_Utils.php　　function sfIsSuccess　のリファラチェック部分にてエラーチェックを追記する。 200行目以降付近「リファラ無」のif文内にエラー表示のソースを追記。 // リファラーチェック(CSRFの暫定的な対策) // 「リファラ無」の場合はエラー画面を表示する if ( empty($_SERVER['HTTP_REFERER']) ) { // リファラの送出が確認されない場合はエラー画面を表示 if ($disp_error) SC_Utils::sfDispError(INVALID_MOVE_ERRORR); return false; // 「リファラ有」かつ「管理画面からの遷移でない」場合にエラー画面を表示する } else { $domain = SC_Utils::sfIsHTTPS() ? SSL_URL : SITE_URL; $pattern = sprintf('\|^%s.*\|', $domain); 本脆弱性の対応をされる場合は、上記をご確認いただき、環境に応じたご対応をお願いいたします。それでは、ご迷惑をおかけしておりますが、よろしくお願いいたします。

micro	投稿日時: 2011/5/14 21:37 対応状況: −−−
新米登録日: 2011/3/24 居住地: 渋谷投稿: 8	Re: EC-CUBEの脆弱性に関して多くのレス、ありがとうございます。皆様からご提案いただいている対応方法を元に検討させていただきます。ありがとうございました。