EC-CUBE脆弱性が発表された 前回の脆弱性対応の漏れなので早急に対応されたし

前回EC-CUBEがバージョンアップされたと書いた。
これは主にクロスサイトリクエストフォージェリでの脆弱性の対策としてのバージョンアップだ。
今回のバージョンアップはどうも前回の対応に漏れがありサイドバージョンアップしたという事だ。

思っているよりも頻繁にバージョンが上がるオープンソース

オープンソースというのは条件があるが誰でも自由に使っても良いというプログラムの事だ。
例えばOSであるLinuxとか今回のECサイトのプラットフォームであるEC-CUBEのようなアプリケーションもある。
一時期は法人利用でアレルギーのようなモノがあったが現在では極普通に使われれているソフトウェアだ。

オープンソースのメンテナンスは不特定多数の人がフォーラムや協議会というくくりで集まり行われている事が多い。
結構たくさんの開発者が絡むのでその横の連絡が難しいのだが更新は活発に行われている。
細かい修正まで数えるとそれこそ毎日のように更新されているのだ。

今回のEC-CUBEのバージョンアップ

前回の2015年10月23日の時点での脆弱性に対応した内容が一部漏れがあり追加で修正となっている。
ここらへんは2度手間にならないように1発で対応してほしいものだ。

対象となるEC-CUBEのバージョンは2.11.0~2.13.4となりEC-CUBEとしては一番層の厚いところだろう。
内容はクロスサイトリクエストフォージェリに関わる脆弱性なので早急に対応する事をお勧めする。

零細なEC事業者ではこうした事に対応できないかも

ここらへんが一番心配な部分なのだが零細な事業者でECサイトをEC-CUBEのようなオープンソースで作っているところが心配だ。
専任のPHPやサーバーを触れる技術者がいれば問題無いのだが零細なEC事業者では専任がいない場合も多いだろう。

ECサイトの構築当初は安くあげるためにオープンソースを利用して作るがメンテナンスが出来なかったりする場合にこうした脆弱性の対応ができない事も多いのではないかと想像してしまう。

これが実態だとすると世の中にあるこうしたオープンソースのECサイトでバージョンアップがなされていないサイトはセキュリティー的に穴だらけという事だ。
個人情報が漏れたり様々な影響が出る可能性があると思う。
ここらで一度自社ECサイトの点検をしてみてはどうだろうか。

今回はこのへんで
では