平素より当社サービスをご利用いただきまして、誠にありがとうございます。
現在、KAGOYA Internet Routing(以下、KIR)の EasyCGI で提供しております、
「EC-CUBE1」および「EC-CUBE2」におきまして、セキュリティホールが発見され
ましたのでお知らせいたします。
現行の「EC-CUBE」ではクロスサイトスクリプティングや、SQLインジェクション
の脆弱性が存在します。本脆弱性により外部からの不正なアクセスによるデータ
ベースの改ざん、消去を行うことが可能となってしまいます。
本脆弱性に対応するため、当社コントロールパネルにセキュリティパッチをご用意
させていただきました。このセキュリティパッチを当てることで本脆弱性は解消
されます。まだ対応がお済でないお客様につきましては、必ずセキュリティパッチ
をインストールしていただきますようお願いいたします。
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
■セキュリティホールについて■
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
以下の内容につきまして対応いたしました。
内容:
●EC-CUBE Ver.1
・画像の詳細プログラムでのSQLインジェクション
・マイページのお届け先情報入力ページでのSQLインジェクション
●EC-CUBE Ver.2
・画像の詳細プログラムでのSQLインジェクション
・郵便番号自動入力処理でのXSS脆弱性
・お届け先入力ページでのSQLインジェクション
詳細は下記のURLをご覧下さい
■EC-CUBE公式サイト
EC-CUBE‐脆弱性リスト
http://www.ec-cube.net/info/weakness/index.php
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
■セキュリティ対策について■
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
セキュリティパッチの実行は、会員専用コントロールパネル内の「EasyCGI」から
行ってください。
※下記URLが改行されてリンクできない場合、お手数ですが下記URLをコピーして
ブラウザのアドレスバーにペーストしてください。
■EC-CUBE Ver.1をご利用中の方
◇KIR > コントロールパネル > EasyCGI > E-commerce > EC-CUBE1 セキュリティパッチ
※内容をご確認の上、現在ご利用中のEC-CUBEのバージョン(1.3.4または1.4.6)
およびインストールディレクトリを選択し、インストールボタンをクリック
しますとセキュリティ対策がされたソースファイルで上書きします。
■EC-CUBE Ver.2をご利用中の方
◇KIR > コントロールパネル > EasyCGI > E-commerce > EC-CUBE2 セキュリティパッチ
※内容をご確認の上、インストールディレクトリを選択し、インストールボタン
をクリックしますとセキュリティ対策がされたソースファイルで上書きします。
【EC-CUBE Ver.1/ Ver.2共通注意事項】
※異なるバージョンへの上書きインストールはできません。
※インストールディレクトリ以外にはインストールできません。
※上書き対象のファイルは、ファイル名を変えて同じディレクトリ内へバック
アップされます。
[元のファイル名]_backup_[インストール日時分秒]
※パッチファイルインストール後も、EC-CUBE内で表示されるバージョン番号は
変わりません。
====================================
