株式会社ブレイドでも、EC-CUBEを使ったショッピングサイト(ECサイト)構築やカスタマイズなども手掛けています。
EC-CUBEですが、少し前になりますが10月1日付けでEC-CUBE「ECオープンソース」の公式サイトに
「脆弱性の公表に関する重要なお願い」というタイトルで、
EC-CUBE2のSQLインジェクション脆弱性についての記事が載っていました。
【補足】
※SQLインジェクション
ECサイト、ショッピングカート等のシステムが、本来想定されていないSQL文を実行させることにより
不正にデータベースシステムを操作する攻撃方法。
このページの情報によると、コミュニティ版も含む、EC-CUBE2.0.0-beta以降の
全てのバージョンに、SQLインジェクションによる脆弱性が存在する、というもの。
ちなみに1系のEC-CUBEは該当しないそうですよ('ー'
【対策方法】
EC-CUBEの公式サイトより対策済みの修正ファイルをダウンロード して
ダウンロードしたSC_Query.zipを解凍します。
EC-CUBE2をカスタマイズしないで使っている場合は、
解凍した「SC_Query.php」を、EC-CUBE2がUPされている場所にFTPでアクセス。
以下の場所にUPしてPHPファイルを上書きすればOK
data/class/SC_Query.php
SC_Query.phpをカスタマイズしている場合
・SC_Queryクラスのinsertメソッド内の下記箇所を削除
251?253行目(EC-CUBE RC1版の場合)
// 先頭に~があるとプレースホルダーしない。
} else if(ereg("^~", $val)) {
$strval .= ereg_replace("^~", "", $val);
// 先頭に~があるとプレースホルダーしない。
} else if(ereg("^~", $val)) {
$strval .= ereg_replace("^~", "", $val);
・SC_Queryクラスのupdateメソッド内の下記箇所を削除
328?330行目(EC-CUBE RC1版の場合)
// 先頭に~があるとプレースホルダーしない。
} else if(ereg("^~", $val)) {
$strval .= ereg_replace("^~", "", $val).",";
// 先頭に~があるとプレースホルダーしない。
} else if(ereg("^~", $val)) {
$strval .= ereg_replace("^~", "", $val).",";
■関連サイト
・SQLインジェクション脆弱性について(2008年10月1日)
(EC-CUBE公式サイトへ)
