2009.12.07 2.4系向け緊急セキュリティ対策について

EC-CUBE公式サイトでも告知されていますが、EC-CUBE2.4系に緊急度の高い脆弱性が発見されました。
http://www.ec-cube.net/news/detail.php?news_id=107

このバグは2.4系のみ存在します。2.3.x以前のバージョンには問題がありません。2.4.2にて修正されています。

対応方法は簡単で、以下の通りです。

/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php#process
の最初に以下のログイン確認コードを挿入します。

■56行目付近
——————————————————————-
変更前
——————————————————————-

function process()
{
    $objView = new SC_AdminView();

——————————————————————-
変更後
——————————————————————-

function process()
{
   // 認証可否の判定
   $objSess = new SC_Session();
   SC_Utils_Ex::sfIsSuccess($objSess);

   $objView = new SC_AdminView();

なるべく緊急に対応されることをお勧めいたします。
 
 
EC-CUBE工房でも特別価格10,500円(税込)にて緊急対応しています。
(株)システムフレンド EC-CUBE工房担当082-943-9530までお電話ください。

なお、あわせて管理系画面へのアクセス制限等を実施されることをお勧めします。
以下に方法を解説していますので、参考までご覧ください。
管理画面にアクセス制限を設定する方法

この脆弱性による被害の形跡を調査するには、アクセスログで”/admin/customer/search_customer.php”へのアクセスの有無を調べ、そのIPアドレス等を確認してみてください。
 
 
以下はCentOSのデフォルトでの調べ方の例です。

ログファイル名
/var/log/httpd/access_log

/admin/customer/search_customer.phpに対してアクセスがあるかどうかを調べるには、以下のコマンドを実行する。
# grep ‘/admin/customer/search_customer.php’ ログファイル名

(例)以下のように出力される。
192.168.1.146 – – [07/Dec/2009:13:20:45 +0900] “GET /admin/customer/search_customer.php HTTP/1.1” 200 3010 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.1; ja; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5”

先頭のIP=アクセス元のIPなので、怪しいIPからのアクセスだったら要注意、という感じです。