ニュース

2009/12/07
EC-CUBEバージョン2.4系の緊急度の高い脆弱性について

平素は当サービスをご利用いただき誠にありがとうございます。

この度、弊社ワンクリックインストール機能、およびマニュアルでご案内しておりますEC-CUBEについて
開発元である株式会社ロックオン社より、
EC-CUBE2.4系のバージョンに重大なセキュリティ上の問題(脆弱性)があることが公表されました。

EC-CUBEをご利用中のお客様はバージョンをご確認いただき、
脆弱性の対象となるバージョンの場合には脆弱性箇所の確認と修正の対応をお願い致します。


■脆弱性が存在するEC-CUBEのバージョン

-----------------------------------------
EC-CUBE 正式版 2.4.0 RC1 以降 (2009年3月31日公開)
EC-CUBE コミュニティ版 r18068 以降 (2009年6月10日版以降)
-----------------------------------------


■本脆弱性に対する対応方法

脆弱性を含むファイルの
ソースコードの修正、または上書きすることで対応することができます。
詳細につきましては、下記にご案内しますEC-CUBE公式ページにてご確認ください。

◇脆弱性報告及び対応方法(EC-CUBE公式)
http://www.ec-cube.net/news/detail.php?news_id=107



■ワンクリックインストールをご利用のお客様

ワンクリックインストールにて提供しておりますEC-CUBEにつきましては
対象ファイル LC_Page_Admin_Customer_SearchCustomer.php が改変されていない場合に限り
本日弊社にて脆弱性に対する修正対応を実施させていただいております。

尚、改変されているかどうかのチェックについては
MD5による配布データとの比較チェックを行っているため、
少しでも変更処理が行われている場合は、脆弱性が残っていても修正対象とはなりません。
弊社側でソース内容のチェック等までは行っておりませんのでご了承ください。

○脆弱性対応されたEC-CUBEかどうかの確認方法
【サーバー管理ツール】にログインいただき【ワンクリックインストール】の
メニューから、バージョンをご確認いただきバージョンが「2.4.0sixfix」
または「2.4.1sixfix」となっておりますのでご確認ください。


以上、大変お手数をお掛けしますがEC-CUBEをご利用中の客様におかれましては
必ずご確認くださいますようよろしくお願い申し上げます。

ニュース一覧に戻る