2017年12月28日に公表された脆弱性への対応方法

カテゴリー : セキュリティ
2017年12月28日 (木)

CS-Cart日本語版のバージョン4系(v2系、v3系は除く)において、脆弱性が判明しました。
脆弱性の詳細はセキュリティの観点から現時点では公開されておりませんが、この修正を必ず適用してください。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。


脆弱性のあるCS-Cartのバージョン

  • CS-Cart日本語版 - スタンダード版 v4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く)
  • CS-Cart日本語版 - マーケットプレイス版 v4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く)

※ 2017年12月28日10時時点におけるCS-Cart v4系すべてのバージョンが対象となります
※ 2017年12月28日10時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。

サーバープランのお客様は対応済み

CS-Cartサーバープランをご利用のお客様については、すでにセキュリティアドオンを適用済みのため、下記の作業は不要です。
【注意】サーバー上にテスト環境または複数のCS-Cartをインストールしている場合は、メインのサイト以外は対策が施されていません。お手数ですがご自身にて対策を実施願います。

脆弱性の内容と攻撃が成功するための条件

セキュリティの観点から現時点では公開されておりません。

脆弱性修正アドオンのインストール

 ----------------------------------------------------------------

1.CS-Cartがインストールされたフォルダにある「config.local.php」をローカルPCなどにダウンロードした上で、

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0666);
define('DEFAULT_DIR_PERMISSIONS', 0777);

を下記に書き換えてサーバー上に上書きアップロードしてください。

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0644);
define('DEFAULT_DIR_PERMISSIONS', 0755);

2.こちらよりセキュリティパッチのアドオンをダウンロードしてください。(解凍不要)
 ※このアドオンはv4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く)向けです。

3. 管理画面のアドオン→アドンの管理にアクセスし、
 右上にある「+」ボタン(アドオンのアップロードとインストール)をクリックしてください。

4.「ローカル」ボタンをクリックして
 2でダウンロードしたアドオン(ZIPファイル)を選択して開いてください。

5.「アップロードおよびインストール」ボタンをクリックしてください。

6.「セキュリティパッチ for 4.0.1 - 4.3.10-jp-1 」アドオンが
 インストール済みアドオンにあるのを確認してください。

7.CS-Cartをインストールされたフォルダにある「config.local.php」をローカルPCなどにダウンロードした上で、

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0644);
define('DEFAULT_DIR_PERMISSIONS', 0755);

を下記に書き換えてサーバー上に上書きアップロードしてください。
// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0666);
define('DEFAULT_DIR_PERMISSIONS', 0777);

 ----------------------------------------------------------------

※ お使いのCS-Cartのバージョンの確認方法は、 こちら をご参照ください。

現時点での被害報告はありません

本脆弱性はCS-Cartの開発元であるcs-cart.comの社内セキュリティチームが発見したものです。
2017年12月28日10時時点では、本脆弱性を攻撃されたことによる被害報告はありません。

連絡先

本脆弱性に関するお問い合わせは、以下のURLよりお寄せください。
http://helpdesk.cs-cart.jp/index.php?/Tickets/Submit/RenderForm/2