現在位置: 株式会社ブレイド > システム開発Blogトップページ > EC-CUBE 情報

EC-CUBE 情報の最近のブログ記事

EC-CUBE 2.4未満や ver1など古いバージョンを利用しているウェブサイトの脆弱性について

株式会社ブレイド〔宮城県仙台市〕
(2009年7月27日 15:00) | | コメント(0)

IPA (独立行政法人情報処理推進機構)のウェブサイトに、EC-CUBE 2.4未満のバージョンや、
バージョン1などの旧バージョンのEC-CUBEを使用する際の脆弱性について掲載されています。

IPAのウェブサイトのページには

  • 「EC-CUBE」の脆弱性について
  • 使用中の「EC-CUBE」のバージョン確認方法
  • EC-CUBEへの脆弱性対策方法
  • 脆弱性対策情報の収集方法

などについて掲載されています。

 EC-CUBE旧バージョンの脆弱性についての注意喚起が掲載されているサイト

EC-CUBE 2.4未満の古いバージョンのECCUBEで運営されているサイトなど、
脆弱性に対応した修正プログラム(パッチ)を当てていない未対策のウェブサイトの場合は、
EC-CUBEに修正プログラム(パッチ)を適用する、
もしくはソフトウェアを最新のものにバージョンアップする必要がありますよ、
という事が書かれています('_'
EC-CUBE開発元の、株式会社ロックオンのサイトでも上記内容について掲載されていますね。
記事の詳細については、下の関連記事のURLからどうぞ。
EC-CUBE‐脆弱性リストのURLも合わせて載せておきますね。

■関連記事
EC-CUBEの脆弱性について、対象のバージョンと、
危険度の度合が高・中・低で掲載されています。
EC-CUBE‐脆弱性リスト (EC-CUBE公式サイトへ)

「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起
-ウェブサイト運営者は脆弱性対策情報を収集し、バージョンアップを!-
IPA (独立行政法人情報処理推進機構)のウェブサイト
http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.html

関連するエントリ一覧

EC-CUBE 商品表示の高速化等を実装した2.4.0正式版がリリースされました

株式会社ブレイド〔宮城県仙台市〕
(2009年5月19日 15:30) | | コメント(0)

(株)ブレイドもお世話になっている、オープンソースのECパッケージ「EC-CUBE(イーシー・キューブ)」ですが、様々な機能を充実された2.4.0 正式版が、2009年5月19日にリリースされましたよ。
EC-CUBEの機能追加を伴う大幅なバージョンアップは、2008年3月以来、1年2ヶ月ぶりなんだそうです(^o^)/

EC-CUBE バージョン2.4.0で追加された機能は主に

  1. 商品のお気に入りを登録できる機能
  2. ポイントの使用、不使用を切り替えができる機能
  3. 受注管理より新規注文情報を入力、登録できる機能
  4. 納品書PDFを一括で出力できる機能
だそうです(^^)


機能が修正された部分は、

  1. カレンダーブロックの土日の定休日設定を変更できるようになった。
  2. 送料計算を拡張クラスで行い、柔軟にカスタマイズ可能になった

カレンダー部分は、標準の状態だと土曜日の休日設定がなくて、テンプレート等をカスタマイズする必要があったんだけど、 標準で変更できるようになったみたい。この機能は、ありがたいですね
ほかには、データベースにMySQLを使用している場合の商品表示速度 高速化や、カートに入っている数量の増減部分、機能の高速化対応、バグフィックスを行ったんだそうです。
あと売上集計の高速化対応、これは管理画面側かな?

今回のバージョンアップで、上記の内容部分、だいぶ安定したシステムになったみたいですよ (^v^)/

■関連サイト
ロックオン、ECオープンソース『EC-CUBE』で商品表示の高速化等を実装した2.4.0正式版をリリース (2009/05/19)

関連するエントリ一覧

EC-CUBE2にSQLインジェクションによる脆弱性が存在?

株式会社ブレイド〔宮城県仙台市〕
(2008年10月14日 18:38) | | コメント(0)

株式会社ブレイドでも、EC-CUBEを使ったショッピングサイト(ECサイト)構築やカスタマイズなども手掛けています。
EC-CUBEですが、少し前になりますが10月1日付けでEC-CUBE「ECオープンソース」の公式サイトに
「脆弱性の公表に関する重要なお願い」というタイトルで、
EC-CUBE2のSQLインジェクション脆弱性についての記事が載っていました。

【補足】
※SQLインジェクション
ECサイト、ショッピングカート等のシステムが、本来想定されていないSQL文を実行させることにより
不正にデータベースシステムを操作する攻撃方法。

EC-CUBE2にSQLインジェクションによる脆弱性の記事

このページの情報によると、コミュニティ版も含む、EC-CUBE2.0.0-beta以降の
全てのバージョンに、SQLインジェクションによる脆弱性が存在する、というもの。
ちなみに1系のEC-CUBEは該当しないそうですよ('ー'

【対策方法】
EC-CUBEの公式サイトより対策済みの修正ファイルをダウンロード して
ダウンロードしたSC_Query.zipを解凍します。
EC-CUBE2をカスタマイズしないで使っている場合は、
解凍した「SC_Query.php」を、EC-CUBE2がUPされている場所にFTPでアクセス。
以下の場所にUPしてPHPファイルを上書きすればOK

data/class/SC_Query.php

SC_Query.phpをカスタマイズしている場合
・SC_Queryクラスのinsertメソッド内の下記箇所を削除

251~253行目(EC-CUBE RC1版の場合)
// 先頭に~があるとプレースホルダーしない。
} else if(ereg("^~", $val)) {
$strval .= ereg_replace("^~", "", $val);


・SC_Queryクラスのupdateメソッド内の下記箇所を削除

328~330行目(EC-CUBE RC1版の場合)
// 先頭に~があるとプレースホルダーしない。
} else if(ereg("^~", $val)) {
$strval .= ereg_replace("^~", "", $val).",";


■関連サイト
SQLインジェクション脆弱性について(2008年10月1日)
 (EC-CUBE公式サイトへ)

関連するエントリ一覧

    « CSS nite in Sendai | メインページ | アーカイブ | ECCUBE カスタマイズ/インストール »

    株式会社ブレイド ホームページ制作・WEBシステム開発・SEO

    このアーカイブについて

    このページには、過去に書かれたブログ記事のうちEC-CUBE 情報カテゴリに属しているものが含まれています。

    前のカテゴリはCSS nite in Sendaiです。

    次のカテゴリはECCUBE カスタマイズ/インストールです。

    最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

    アーカイブ

    カテゴリ

    株式会社ブレイド 採用情報

    株式会社ブレイドのご紹介

    お知らせ

    タグクラウド

    Powered by Movable Type 4.1