質問 > その他 > EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
PONK |
投稿日時: 2024/5/29 15:55
対応状況: −−−
|
半人前 ![]() ![]() 登録日: 2019/11/15 居住地: 投稿: 19 |
EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について [EC-CUBE] EC-CUBE3.0.15
[PHP] 7.1.33 [Twig] v1.34.0 現在運用中のサイトにて以下の脆弱性に関する対応をしております。 ■EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731) https://www.ec-cube.net/info/weakness/20231026/index_3.php 修正ファイルを適用したところ、上記ページの「修正ファイル適用による注意点」と同様の画面に遭遇したため、/src/Eccube/ServiceProvider/SandboxServiceProvider.phpのコードを修正しましたが、今度はindex_dev.phpにて以下のエラーが確認されております。 ClassNotFoundException in SandboxServiceProvider.php line 34: Attempted to load class "Twig_Extension_SandboxExtension" from the global namespace. Did you forget a "use" statement? キャッシュはFTPにてサーバーに接続し、/app/cache以下を全て削除しております。 また、Twigに関しましても、手動でアップデートしております。 対処方法についてアドバイスいただけますと幸いです。 |
mcontact |
投稿日時: 2024/5/29 16:17
対応状況: −−−
|
神 ![]() ![]() 登録日: 2022/1/22 居住地: 投稿: 1595 |
Re: EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について 引用:
ClassNotFoundException in SandboxServiceProvider.php line 34: Attempted to load class "Twig_Extension_SandboxExtension" from the global namespace. とエラーが出ている通り、Twig_Extension_SandboxExtensionの含まれているTwigが正しく更新されていないかと思います。
|
PONK |
投稿日時: 2024/5/29 17:38
対応状況: −−−
|
半人前 ![]() ![]() 登録日: 2019/11/15 居住地: 投稿: 19 |
Re: EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について mcontactさま
アドバイスいただき、ありがとうございます。 「Twig_Extension_SandboxExtensionの含まれているTwigの更新」とは /vendor/twig/twig 以下をtwig1.34.0以降に入れ替え、キャッシュを削除するとの認識で良いのでしょうか? |
mcontact |
投稿日時: 2024/5/29 18:21
対応状況: −−−
|
神 ![]() ![]() 登録日: 2022/1/22 居住地: 投稿: 1595 |
Re: EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について https://www.ec-cube.net/info/weakness/20231026/index_3.php?_gl=1*1haldyh*_ga*MTQ1MjgxNjM3LjE3MDg4MjkwMDA.*_ga_PBKHJT0C0B*MTcxNjk1NzcxNC4zODguMS4xNzE2OTc0MjE1LjQ5LjAuMA..#evidence
に記載されている手順通りかと思います。 たぶんないと思いますが、下記の差分修正はあくまでEC-CUBE3.0.18-p6での修正例ですのでEC-CUBE3.0.15との修正の場合は、例示以外に修正が必要かもしれませんが。。。 https://www.ec-cube.net/info/weakness/20231026/index_3.php?_gl=1*1haldyh*_ga*MTQ1MjgxNjM3LjE3MDg4MjkwMDA.*_ga_PBKHJT0C0B*MTcxNjk1NzcxNC4zODguMS4xNzE2OTc0MjE1LjQ5LjAuMA..#diff-v30
|
PONK |
投稿日時: 2024/5/30 10:21
対応状況: 解決済
|
半人前 ![]() ![]() 登録日: 2019/11/15 居住地: 投稿: 19 |
Re: EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について mcontactさま
度々のアドバイスありがとうございます。 解決いたしました。 結果としては SandboxServiceProvider.php line 34 の記述の修正に間違いがありました。 https://www.ec-cube.net/info/weakness/20231026/index_3.php?_gl=1*1aj19l*_ga*MTc4NzU5MjcyMC4xNzE3MDI5NDg0*_ga_PBKHJT0C0B*MTcxNzAyOTQ4NC4xLjEuMTcxNzAyOTUyNi4xOC4wLjA.#d2h-30 のとおり修正をしたところ、無事に動作するようになりました。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |