お知らせ

EasyCGI「EC-CUBE」セキュリティ対策のお知らせ

平素より当社サービスをご利用いただきまして、誠にありがとうございます。

現在、KAGOYA Internet Routing(以下、KIR)の EasyCGI で提供しております、
「EC-CUBE1」および「EC-CUBE2」におきまして、セキュリティホールが発見され
ましたのでお知らせいたします。

現行の「EC-CUBE」ではクロスサイトスクリプティングや、SQLインジェクション
の脆弱性が存在します。本脆弱性により外部からの不正なアクセスによるデータ
ベースの改ざん、消去を行うことが可能となってしまいます。

本脆弱性に対応するため、当社コントロールパネルにセキュリティパッチをご用意
させていただきました。このセキュリティパッチを当てることで本脆弱性は解消
されます。まだ対応がお済でないお客様につきましては、必ずセキュリティパッチ
をインストールしていただきますようお願いいたします。

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
          ■セキュリティホールについて■
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

以下の内容につきまして対応いたしました。

内容:
●EC-CUBE Ver.1
・画像の詳細プログラムでのSQLインジェクション
・マイページのお届け先情報入力ページでのSQLインジェクション

●EC-CUBE Ver.2
・画像の詳細プログラムでのSQLインジェクション
・郵便番号自動入力処理でのXSS脆弱性
・お届け先入力ページでのSQLインジェクション

詳細は下記のURLをご覧下さい

■EC-CUBE公式サイト
 EC-CUBE‐脆弱性リスト
 http://www.ec-cube.net/info/weakness/index.php

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
           ■セキュリティ対策について■
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

セキュリティパッチの実行は、会員専用コントロールパネル内の「EasyCGI」から
行ってください。

※下記URLが改行されてリンクできない場合、お手数ですが下記URLをコピーして
 ブラウザのアドレスバーにペーストしてください。

■EC-CUBE Ver.1をご利用中の方
KIR > コントロールパネル > EasyCGI > E-commerce > EC-CUBE1 セキュリティパッチ

※内容をご確認の上、現在ご利用中のEC-CUBEのバージョン(1.3.4または1.4.6)
 およびインストールディレクトリを選択し、インストールボタンをクリック
 しますとセキュリティ対策がされたソースファイルで上書きします。

■EC-CUBE Ver.2をご利用中の方
KIR > コントロールパネル > EasyCGI > E-commerce > EC-CUBE2 セキュリティパッチ

※内容をご確認の上、インストールディレクトリを選択し、インストールボタン
 をクリックしますとセキュリティ対策がされたソースファイルで上書きします。

【EC-CUBE Ver.1/ Ver.2共通注意事項】

※異なるバージョンへの上書きインストールはできません。
※インストールディレクトリ以外にはインストールできません。
※上書き対象のファイルは、ファイル名を変えて同じディレクトリ内へバック
 アップされます。
 [元のファイル名]_backup_[インストール日時分秒]

※パッチファイルインストール後も、EC-CUBE内で表示されるバージョン番号は
 変わりません。

====================================