平素より当社サービスをご利用いただきまして、誠にありがとうございます。
2013年6月26日、KAGOYA Internet Routing で提供しております「EC-CUBE」につ
いて、提供元(株式会社ロックオン)より以下のバージョンには深刻な脆弱性があると
報告がございました。
「EC-CUBE 2.4系」
「EC-CUBE 2.11系」
「EC-CUBE 2.12系」
上記バージョンのEC-CUBEをご利用のお客様は、至急下記の対処方法を参考に
対応をお願いいたします。
——————————————————————————————————–
■対処方法について
——————————————————————————————————–
今回の脆弱性につきましては、eccube2_data 以下のファイルが対象になります。
例:EC-CUBE のインストール先が「public_html/eccube/shop」の場合
eccube2_data/eccube/shop 以下が対象です。
※eccube2_dataフォルダはpublic_htmlフォルダと同じ階層に存在します。
対処手順
1.該当フォルダ以下のディレクトリを含む全ファイルを、当社のバックアップ
サービスでバックアップいただくか、FTPでダウンロードしてください。
◇コントロールパネル > システム > バックアップサービス
https://cp.kagoya.net/?a%5Bmid%5D%5Bmain%5D=backup
2.EC-CUBEの管理画面にログインし、トップページに表示されている「EC-CUBE
バージョン」を確認ください。
3.EC-CUBE公式サイトより、確認いただいたバージョンの修正ファイル(圧縮
ファイル)をダウンロードしてください。
◆修正ファイル一覧と修正方法
http://www.ec-cube.net/info/weakness/20130626/index.php
4.ダウンロードしたファイル(圧縮ファイル)を解凍し、eccube2_data 以下の
データフォルダに上書きしてください。
※カスタマイズされている場合や、ご利用バージョンにより個別にファイルを
修正いただく必要があります。修正方法は上記URLにてご確認ください。
5.ご利用のEC-CUBEが正常に動作することを確認ください。
※修正ファイルを適応することにより、プラグインが正常に動作しなくなる
可能性がございます。
——————————————————————————————————–
■脆弱性について
——————————————————————————————————–
「EC-CUBE 2.4系」「EC-CUBE 2.11系」、「EC-CUBE 2.12系」には、
提供元(株式会社ロックオン)より以下のセキュリティホールの存在が
報告されています。
・パストラバーサルの脆弱性
・コードインテリジェクション脆弱性
・EC-CUBE におけるクロスサイト・スクリプティング
・EC-CUBE における管理画面でのクロスサイト・スクリプティング
・resize_image.phpによるディレクトリトラバーサル
——————————————————————————————————–
※コントロールパネルから新規インストールされるEC-CUBEは、本脆弱性への
対応済みです。