ソニーペイメント(旧スマートリンク)をご利用中の方へ 〜脆弱性への対応方法〜

カテゴリー : セキュリティ
2017年12月05日 (火)

CS-Cart日本語版の全てのバージョン(v2系、v3系、4系)において、決済に
ソニーペイメントサービス株式会社(以下、ソニーペイメント)(旧スマートリンク)をご利用の際に
ログの保存に関するセキュリテイの問題があることが判明しました。

本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。


脆弱性のあるCS-Cartのバージョン

  • CS-Cart日本語版 - スタンダード版 全てのバージョン
  • CS-Cart日本語版 - マーケットプレイス版 全てのバージョン
  • 決済方法にソニーペイメント(旧スマートリンク)をご利用中の方全て

※ 2017年12月6日10時時点におけるCS-Cart すべてのバージョンが対象となります
※ 2017年12月6日10時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。

脆弱性の内容

CS-Cartの動作を記録するログに、カード番号や有効期限が保存される問題がございました。

対策方法

STEP01. パッチファイルの適用

以下よりパッチファイルをダウンロードし、解凍のうえサーバーにアップロードしてください。
 ----------------------------------------------------------------

  • CS-Cart Version 4.3.10 向けセキュリティパッチ
  • ※ サーバー上にインストールしたCS-Cartの以下のファイルを上書きする形になります。
     app/addons/smartlink/func.php
     app/addons/smartlink/init.php
     jp_extras/security_jp20171205/index.php (新規ファイル)

  • CS-Cart Version 4.3.6 向けセキュリティパッチ
  • ※ サーバー上にインストールしたCS-Cartの以下のファイルを上書きする形になります。
     app/addons/smartlink/func.php
     app/addons/smartlink/init.php
     jp_extras/security_jp20171205/index.php (新規ファイル)

  • CS-Cart Version 4.3.4 向けセキュリティパッチ
  • ※ サーバー上にインストールしたCS-Cartの以下のファイルを上書きする形になります。
     app/addons/smartlink/func.php
     app/addons/smartlink/init.php
     jp_extras/security_jp20171205/index.php (新規ファイル)

  • CS-Cart Version 4.2.4 向けセキュリティパッチ
  • ※ サーバー上にインストールしたCS-Cartの以下のファイルを上書きする形になります。
     app/addons/smartlink/func.php
     app/addons/smartlink/init.php
     jp_extras/security_jp20171205/index.php (新規ファイル)

 ----------------------------------------------------------------

※ お使いのCS-Cartのバージョンの確認方法は、 こちら をご参照ください。
※ CS-Cart Version 4.2.4, 4.3.4, 4.3.6, 4.3.10以外のバージョンをご利用の場合は、 こちら よりお問い合わせ願います。

STEP02. <ショップのURL>jp_extras/security_jp20171205/index.phpへアクセス

ブラウザで
<ショップのURL>jp_extras/security_jp20171205/index.phpへアクセスしてください。
※SEOアドオンを使用している場合は index.php をはずしてください。
「OK」と表示されれば完了です。
安全のため、jp_extras/security_jp20171205/フォルダを削除してください。

連絡先

本脆弱性に関するお問い合わせは、以下のURLよりお寄せください。
http://helpdesk.cs-cart.jp/index.php?/Tickets/Submit/RenderForm/2