「osCommerce」-「Zencart」WATCH !

OZ-Watch! [ 2008/07/14 ] セキュリティに関連したお知らせ

■   『 osCommerce 』-『 Zencart 』WATCH !
■■  (進化し続ける最新のオープンソースECサイトの動向を探る)
■■	                          第23号  [2008年 7月 14日]

『 osCommece 』『 Zencart 』最新情報!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ セキュリティに関連したお知らせ
                     − 有限会社ビッグマウス
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Zen Cart v1.3.x においてセキュリティ上の脆弱性を指摘するアナウンスがあり
ました。
これは、特定の環境において悪意のある第三者によってローカルファイルのpath
に関する重要な情報を抜き出されてしまうといった内容のものでした。

zen-cart本家では、危険性ははっきりしないとしながらも、セキュリティ上の
リスクを減らすためにすべてのユーザーに対して対応を勧めています。

まず行うべきことは、管理者画面のフォルダをデフォルトの /admin の
ままで利用しない!という事です。

修正方法に関しては、以下のファイルが参考になるでしょう。

http://www.zen-cart.com/forum/attachment.php?attachmentid=4207&d=1215901770


※この同じセキュリティ上の指摘はosCommerce に関しても行われています。
Zen Cartの例を参照に対応をお勧めいたします。

※Zen Cart 1.2.x を利用のユーザーはここで書かれている修正を行わないで下さい。
admin エリアが利用できなくなります。

1.2.x ユーザーには、オフィシャルサポートが終了しているとともPHP5へのサーバー
環境の変更に伴い早めのバージョンアップが推奨されています。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    『セキュリティアナウンスメント』  …記事の抜粋 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 最近 Zen Cart 1.3.x に関する脆弱性の問題がいくつかのセキュリティフォーラム
において取り上げられました。これは、Zen CartのAdmin 内の2つのスクリプトに
含まれるLocal File Inclusionの脆弱性を指摘するものでした。

 我々はこの脆弱性の指摘が行われたファイルと公表されたような脆弱性に関する
調査を行った。

指摘のあったファイルは以下の2つ

admin/includes/initsystem.php
admin/includes/languages/english.php

…中略…

脆弱性はアタッカーが Zen Cart の admin ファイルが設置されている場所を
知っているかどうかに依存する事を覚えておいてください。
これまでも全てのセキュリティ/インストール関連の文書において、Zen Cart利用者
は、admin フォルダの名前をインストール時のデフォルトから変更するように強調
してきました。

参照: http://tutorials.zen-cart.com/index.php?article=73

これらのファイルをシステムのファイルパスが判ってしまうような比較的小さな
問題を避けるためにも、以下の対応をお勧めします。

ファイルの初めの部分(<?php で始まる部分の後 )以下のコードを追加します。

if (!defined('IS_ADMIN_FLAG')) {
  die('Illegal Access');
}

ご自身でファイルを編集する事に抵抗のある方のためのパッチも準備いたします。

以下省略…



原文:< http://www.zen-cart.com/forum/showthread.php?t=102802 >



-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=
「osCommerce」「Zencart」本家アメリカの最新情報を日本語でお知らせ!
オープンソースのネットショップ構築システムとして話題の「OSコマース」「ZEN
カート」の最新モジュール、バージョンアップ情報をメールマガジンで速報します!

■ ご意見
oz-watch@bigmouse.jp
■ アドレス変更、配信中止
http://www.bigmouse.jp
■ 「ビッグマウス」ホームページ
http://www.bigmouse.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
『 osCommerce 』-『 Zencart 』WATCH !  vol.23 
 発行:有限会社ビッグマウス      Copyright 2005
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


※ビッグマウスからのお知らせ。

  ◆ Zencart1.3.8a 日本語版公開中!

  http://www.bigmouse.jp/oscommerce_zencart_custom_price.html

   ※ どなたでも無償でダウンロードしていただけます。

  ◆ 間もなく公開、ビッグマウスの新サービス!  お楽しみに。


このメルマガは現在休刊中です

このメルマガは
現在休刊中です

ついでに読みたい

このメルマガは
現在休刊中です

他のメルマガを読む