バージョン選択

フォーラム

メニュー

オンライン状況

30 人のユーザが現在オンラインです。 (16 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 29
kursirotan もっと...

サイト内検索

質問 > フロント機能 > 脆弱性に関する修正方法について。

フロント機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
kmDnk
投稿日時: 2021/1/6 23:10
対応状況: 確認中
常連
登録日: 2017/8/19
居住地:
投稿: 61
脆弱性に関する修正方法について。
▼テンプレート
[EC-CUBE] 3.0.18
[レンタルサーバ] エックスサーバー
[OS] macOS 11.0.1
[PHP] 7.3.16
[データベース] version: 5.7.31 MySQL
[WEBサーバ] apache 2.4.x、nginx
[ブラウザ] Google Chrome バージョン: 89.0.4356.6
[導入プラグインの有無]
・CategoryContent
・EccubeApi
・MailMagazine
・MyGallery
・OGPセット プラグイン
・OGPSetter
・OrderPdf
・PayPalExpress
・ProductReview
・Shiro8NewProductBlock3
・TransportCSVexportB2

セキュリティ対策のため、以下修正を行うとことです。
https://www.ec-cube.net/info/weakness/20201126/

「上書きするファイル」にある以下のファイル

.htaccess.sample
web.config.sample

上記ファイルはルートディレクトリへ
置くと言うことだと思うのですが、ファイル名にある「.sample」は
それぞれ削除して以下の様にリネームしてルートディレクトリへ設置して良いのでしょうか?

.htaccess
web.config

また、web.configというファイルは当方のルートディレクトリには
存在していませんでしたが、新規に設置することになるのですが、そのまま設置して問題無いでしょうか。

よろしくお願い致します。
468
投稿日時: 2021/1/7 0:53
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 2922
Re: 脆弱性に関する修正方法について。
web.configはwindowsサーバのIIS用のファイルかと思いますので
現在、存在していないようであれば設置する必要はないと思います。
(私はIIS用の.htaccessと認識しています)

またルートディレクトリの件ですが
公開ディレクトリはどのようになっていますか?
URL中から/htmlを取り除くような対応をされていたりしますか?

もしデフォルトのままでルートディレクトリの.htaccessが
order allow,deny
deny from all
だけの記述であれば置き換える必要は無いかと思います。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

kmDnk
投稿日時: 2021/1/7 23:48
対応状況: 確認中
常連
登録日: 2017/8/19
居住地:
投稿: 61
Re: 脆弱性に関する修正方法について。
回答いただき、ありがとうございます。

>web.configはwindowsサーバのIIS用のファイルかと思いますので
>現在、存在していないようであれば設置する必要はないと思います。
わかりました。現在設置されていないため、ここは今までと同様設置をしないようにしたいと思います。

>またルートディレクトリの件ですが
>公開ディレクトリはどのようになっていますか?
>URL中から/htmlを取り除くような対応をされていたりしますか?
urlからは/htmlは取り除くようにしています。

htmlを取り除いている場合は
「.htaccess.sample」から「.htaccess」へリネームして
ダウンロードしたファイルをルートディレクトリへ設置した方が良いでしょうか?

よろしくお願い致します。
468
投稿日時: 2021/1/8 12:20
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 2922
Re: 脆弱性に関する修正方法について。
urlからは/htmlは取り除くようにしているという事ですので
デフォルトのhtaccessに手を加えられているのではないでしょうか?
そのまま泡かがすると、urlからは/htmlは取り除く対応がリセットされるのではないでしょうか?
ファイルの上書きではなく、
htaccessの内容を比較して必要な記述のみ追加する方法が良いと思います。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

kmDnk
投稿日時: 2021/1/9 13:50
対応状況: 解決済
常連
登録日: 2017/8/19
居住地:
投稿: 61
Re: 脆弱性に関する修正方法について。
>ファイルの上書きではなく、
>htaccessの内容を比較して必要な記述のみ追加する方法が良いと思います。

上記の方法で更新をしました。
回答ありがとうございました。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBEペイメント

公式ストアEC-CUBE4系デザインテンプレート続々リリース中

統計情報

総メンバー数は70,505名です
総投稿数は100,697件です

投稿数ランキング

1
seasoft
7333
2
468
2922
3
AMUAMU
2712
4
nanasess
2127
5
umebius
1931
6
yuh
1612
7
red
1437
8
h_tanaka
1076
9
tsuji
926
10
fukap
907
11
shutta
835
12
tao_s
793
13 ramrun 789
14 karin 689
15 sumida 641
16
homan
633
17 DELIGHT 572
18
patapata
502
19
flealog
485
20 tonton 437


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.