JavaScript を有効にしてご利用下さい.
EC-CUBE
®
製品
すぐに始めてメンテナンスフリー
クラウド版
自社サーバーに無料インストール
ダウンロード版
機能
EC-CUBEの魅力をご紹介
選ばれる理由
充実した基本機能
機能一覧
それぞれの特徴をご紹介
決済サービス一覧
操作感や各機能をお試しください
デモサイト
導入事例
パートナーを探す
サポート
EC-CUBEに関する質問まとめ
よくあるご質問
開発者向けシステム仕様など
開発情報
さまざまなセミナーを随時開催中
イベントセミナー情報
セキュリティ
安心・安全にご利用頂くために
セキュリティ対策
脆弱性情報をご確認頂けます
脆弱性リスト
ニュース
パートナーについて
EC-CUBEでビジネス展開
パートナー制度ご紹介
ご紹介資料や技術情報など
お役立ち資料
パートナー専用ページへ
ログイン
無料体験
ストア
ニュース
EC-CUBE2系の検証用ソースコード(test コード)に関するお願い(2016/10/27)
本日、EC-CUBEパートナー様向けにEC-CUBE2系の検証用コード(アプリ本体に同梱されているtestコード)に関するお願いをメルマガにて配信いたしました。
セキュリティ上、大切なお願いとなっておりますので、システム運用者の方は是非ご覧ください。
以下、メルマガの内容です。
=====================================
お世話になっております。
EC-CUBE運営チームでございます。
今回のメルマガでは、EC-CUBE 2.12系、2.13系における運用上の注意に関して
ご案内申し上げます。
本件は、EC-CUBE2系の検証用ソースコードに関して、海外のセキュリティサイトで
一部取り上げられたことから情報共有させていただいております。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(1) パッケージに同梱されている検証用ソースコードに関するお願い
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE2.12系、2.13系のパッケージ内には以下の通り、リリース前のテスト用
として検証用ソースコードが同梱されております。
例:eccube-2.13.0/test/
eccube-2.13.0/tests/
本ソースコードはテストフェーズで利用する想定の検証専用のソースコードです。
運用サーバの外部アクセスが可能な位置にアップされないようお願いいたします。
1.EC-CUBE2系で検証用ソースコードが含まれるバージョン
該当バージョン:EC-CUBE 2.12.0~2.13.5
2.検証用ソースコードを外部公開してしまうことの危険性
検証用ソースコードを運用サーバにアップし、さらに外部からアクセス可能な
状態にされますと、そこがセキュリティーホールとなり攻撃対象となります。
※上記検証用ソースコードを本番サーバにアップされていな場合は問題ございません。
※htmlディレクトリ以下をドキュメントルート(外部公開)にされている場合は
問題ございません。
(testディレクトリがアクセス可能な状態はdataディレクトリもアクセスできる
可能性も考えられ、アクセス権限の見直しが必要と考えられます。)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(2) 対応方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
検証用ソースコードが本番サーバのアクセス可能な位置にアップされている場合の
対応方法は以下の通りです。(対応は以下のどちらかで問題ございません。)
1.検証用ソースコードは運用上必要ないファイルですので、全て削除をお願いします。
例:eccube-2.13.0/test/
eccube-2.13.0/tests/
以下ファイルを全て削除
2.検証用ソースコードを外部からアクセス不可の状態にする
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(3) 今後の方針
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
検証用ソースコードを本番サーバにアップしてしまうことに対する危険性がある
ことからEC-CUBE2.13系の最新版パッケージからは該当ソースコードを削除し、
再パッケージを実施いたします。
■再パッケージ対象バージョン:EC-CUBE 2.13.5(現状最新版)
■再パッケージ時期:2016年10月28日以降の上記対象パッケージ
上記日時より、該当パッケージには検証用ソースコードが同梱されません。
ご不便かと存じますか、必要な場合はGitHub上から取得をお願いいたします。]
https://github.com/EC-CUBE/eccube-2_13/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(4) お問い合わせ先
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE 運営チーム 梶原、銭谷
メール:support@ec-cube.net
今回は、セキュリティ関連ニュースをお届けいたしました。
今後も定期的にセキュリティ系情報をお送りいたします。
=====================================
セキュリティ上、大切なお願いとなっておりますので、システム運用者の方は是非ご覧ください。
以下、メルマガの内容です。
=====================================
お世話になっております。
EC-CUBE運営チームでございます。
今回のメルマガでは、EC-CUBE 2.12系、2.13系における運用上の注意に関して
ご案内申し上げます。
本件は、EC-CUBE2系の検証用ソースコードに関して、海外のセキュリティサイトで
一部取り上げられたことから情報共有させていただいております。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(1) パッケージに同梱されている検証用ソースコードに関するお願い
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE2.12系、2.13系のパッケージ内には以下の通り、リリース前のテスト用
として検証用ソースコードが同梱されております。
例:eccube-2.13.0/test/
eccube-2.13.0/tests/
本ソースコードはテストフェーズで利用する想定の検証専用のソースコードです。
運用サーバの外部アクセスが可能な位置にアップされないようお願いいたします。
1.EC-CUBE2系で検証用ソースコードが含まれるバージョン
該当バージョン:EC-CUBE 2.12.0~2.13.5
2.検証用ソースコードを外部公開してしまうことの危険性
検証用ソースコードを運用サーバにアップし、さらに外部からアクセス可能な
状態にされますと、そこがセキュリティーホールとなり攻撃対象となります。
※上記検証用ソースコードを本番サーバにアップされていな場合は問題ございません。
※htmlディレクトリ以下をドキュメントルート(外部公開)にされている場合は
問題ございません。
(testディレクトリがアクセス可能な状態はdataディレクトリもアクセスできる
可能性も考えられ、アクセス権限の見直しが必要と考えられます。)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(2) 対応方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
検証用ソースコードが本番サーバのアクセス可能な位置にアップされている場合の
対応方法は以下の通りです。(対応は以下のどちらかで問題ございません。)
1.検証用ソースコードは運用上必要ないファイルですので、全て削除をお願いします。
例:eccube-2.13.0/test/
eccube-2.13.0/tests/
以下ファイルを全て削除
2.検証用ソースコードを外部からアクセス不可の状態にする
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(3) 今後の方針
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
検証用ソースコードを本番サーバにアップしてしまうことに対する危険性がある
ことからEC-CUBE2.13系の最新版パッケージからは該当ソースコードを削除し、
再パッケージを実施いたします。
■再パッケージ対象バージョン:EC-CUBE 2.13.5(現状最新版)
■再パッケージ時期:2016年10月28日以降の上記対象パッケージ
上記日時より、該当パッケージには検証用ソースコードが同梱されません。
ご不便かと存じますか、必要な場合はGitHub上から取得をお願いいたします。]
https://github.com/EC-CUBE/eccube-2_13/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(4) お問い合わせ先
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE 運営チーム 梶原、銭谷
メール:support@ec-cube.net
今回は、セキュリティ関連ニュースをお届けいたしました。
今後も定期的にセキュリティ系情報をお送りいたします。
=====================================