「osCommerce」-「Zencart」WATCH !

OZ-Watch! [ 2012/10/09 ] ※ Zencart v1.5.0 & v1.5.1 のXXS弱点用のパッチ

■   『 osCommerce 』-『 Zencart 』WATCH !
■■  (進化し続ける最新のオープンソースECサイトの動向を探る)
■■	                          第63号  [2012年 10月 09日]

『 osCommece 』『 Zencart 』最新情報!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ Zencart v1.5.0 & v1.5.1 のマイナーなXXS弱点用にパッチを提供

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Zencart v1.5.0 および v1.5.1 のコード内にマイナーな XSS の弱点が存在する事
についての報告を受けておりました。

この弱点に関する対応に関しては、Github Repository に掲載されています。
https://github.com/zencart/zc-v1-series/commit/3ec70bd0a8b4c6ebb800c9c2800e66da12287325


修正用のパッチファイルのダウンロードも・・・

<以下省略・・・>


<原文:http://www.zen-cart.com/showthread.php?200947-XSS-Flaw-Patch>



★ ビッグマウスからの補足

上記の記事で指摘された問題点は、v1.3.8a や 1.3.9h 等のバージョンにも存在しております。

ただ、記事内で「マイナーな」という表現が使われている通り、通常であれば
あまり問題にならない場所です。

「管理画面内で不正な処理を行った場合」に発生する問題点ですので、指摘された
XSS を実行できるのは「管理画面にログインしている管理者」という事になります。


該当の弱点に関しては、近いうちに弊社提供の v1.3.9h に対しても適用後に
バージョンアップとして公開予定です。




■ Zencart(全バージョン)ユーザーの皆様へ

最近 Zencart のデフォルト機能である「友達に知らせる」を悪用したスパム
メール配信が多発しております。

先日より弊社サイト上などにおいて対応をお勧めする告知を行っていますが、
特にはっきりとした被害として認識されない事も多く、そのままにされている
ケースも多いかと思われます。

画像認証を利用するなど、悪用の防止策を行う事を強くお勧め致します。
特にこの機能を利用していない場合には、同機能は完全に停止させることを
お勧めします。(最新バージョンの 1.5.0 ではこの機能は削除されています)

修正方法に関する情報を別途準備しておりますので、以下のURLよりご確認ください。

http://www.bigmouse.jp/zencart_1.3.9_ja_download.php


※ ZenCartPro ユーザーの皆様には別途対応用モジュールを配布しておりますので
  会員用サイトにログインしてご確認ください。

http://ssl.bigmouse.biz/pro/customize_notes.html


-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=
「osCommerce」「Zencart」本家アメリカの最新情報を日本語でお知らせ!
オープンソースのネットショップ構築システムとして話題の「OSコマース」「ZEN
カート」の最新モジュール、バージョンアップ情報をメールマガジンで速報します!

■ ご意見
oz-watch@bigmouse.jp
■ アドレス変更、配信中止
http://www.bigmouse.jp
■ 「ビッグマウス」ホームページ
http://www.bigmouse.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
『 osCommerce 』-『 Zencart 』WATCH !  vol.63 
 発行:有限会社ビッグマウス      Copyright 2005
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


※ビッグマウスからのお知らせ。

 ◆ 外部のメール配信エンジンと連携する、Zencart からの「メルマガ予約配信
   機能」も準備しております。
   訴求力アップのためのメルマガ配信を遅延なく効果的に行います。
   詳しくはお問合わせください。

 ◆ スマートフォン対応ECサイト「ZenCartPro」シリーズをご体験ください。
   バージョンアップにより、スマートフォン対応もさらに高機能化
  充実した用途によりカスタマイズも自由。

「オプション別在庫管理」もCSVで楽々管理! 
楽天商品登録用CSV対応『 ZenCartPro-R 』好評提供中。

詳しくはこちらから>> http://zencart-pro.com/node/188

   ZenCartProシリーズ。 デザイン適用事例デモサイトも公開中!
  http://www.zencart-pro.com/design_sample_01/
  http://www.zencart-pro.com/design_sample_02/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

このメルマガは現在休刊中です

このメルマガは
現在休刊中です

ついでに読みたい

このメルマガは
現在休刊中です

他のメルマガを読む