EC-CUBE脆弱性が発表された 前回の脆弱性対応の漏れなので早急に対応されたし

    2015/12/06

前回EC-CUBEがバージョンアップされたと書いた。
これは主にクロスサイトリクエストフォージェリでの脆弱性の対策としてのバージョンアップだ。
今回のバージョンアップはどうも前回の対応に漏れがありサイドバージョンアップしたという事だ。

思っているよりも頻繁にバージョンが上がるオープンソース

オープンソースというのは条件があるが誰でも自由に使っても良いというプログラムの事だ。
例えばOSであるLinuxとか今回のECサイトのプラットフォームであるEC-CUBEのようなアプリケーションもある。
一時期は法人利用でアレルギーのようなモノがあったが現在では極普通に使われれているソフトウェアだ。

オープンソースのメンテナンスは不特定多数の人がフォーラムや協議会というくくりで集まり行われている事が多い。
結構たくさんの開発者が絡むのでその横の連絡が難しいのだが更新は活発に行われている。
細かい修正まで数えるとそれこそ毎日のように更新されているのだ。

今回のEC-CUBEのバージョンアップ

前回の2015年10月23日の時点での脆弱性に対応した内容が一部漏れがあり追加で修正となっている。
ここらへんは2度手間にならないように1発で対応してほしいものだ。

対象となるEC-CUBEのバージョンは2.11.0~2.13.4となりEC-CUBEとしては一番層の厚いところだろう。
内容はクロスサイトリクエストフォージェリに関わる脆弱性なので早急に対応する事をお勧めする。

零細なEC事業者ではこうした事に対応できないかも

ここらへんが一番心配な部分なのだが零細な事業者でECサイトをEC-CUBEのようなオープンソースで作っているところが心配だ。
専任のPHPやサーバーを触れる技術者がいれば問題無いのだが零細なEC事業者では専任がいない場合も多いだろう。

ECサイトの構築当初は安くあげるためにオープンソースを利用して作るがメンテナンスが出来なかったりする場合にこうした脆弱性の対応ができない事も多いのではないかと想像してしまう。

これが実態だとすると世の中にあるこうしたオープンソースのECサイトでバージョンアップがなされていないサイトはセキュリティー的に穴だらけという事だ。
個人情報が漏れたり様々な影響が出る可能性があると思う。
ここらで一度自社ECサイトの点検をしてみてはどうだろうか。

今回はこのへんで
では

関連カテゴリー

関連するカテゴリーはこちら、是非チェックしてみて下さい。

おすすめコンテンツ

気に入っていただけたら是非シェアお願いします!

  • このエントリーをはてなブックマークに追加
  • Pocket

コメントはお気軽にどうぞ

メールアドレスは公開されません。
*が付いている欄は必須項目です。

内容に問題なければ、下記の「OK!」ボタンを押してください。