ニュース

EC-CUBE2系の検証用ソースコード(test コード)に関するお願い(2016/10/27)

本日、EC-CUBEパートナー様向けにEC-CUBE2系の検証用コード(アプリ本体に同梱されているtestコード)に関するお願いをメルマガにて配信いたしました。
セキュリティ上、大切なお願いとなっておりますので、システム運用者の方は是非ご覧ください。

以下、メルマガの内容です。
=====================================
お世話になっております。
EC-CUBE運営チームでございます。

今回のメルマガでは、EC-CUBE 2.12系、2.13系における運用上の注意に関して
ご案内申し上げます。

本件は、EC-CUBE2系の検証用ソースコードに関して、海外のセキュリティサイトで
一部取り上げられたことから情報共有させていただいております。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(1) パッケージに同梱されている検証用ソースコードに関するお願い
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE2.12系、2.13系のパッケージ内には以下の通り、リリース前のテスト用
として検証用ソースコードが同梱されております。

例:eccube-2.13.0/test/
  eccube-2.13.0/tests/

本ソースコードはテストフェーズで利用する想定の検証専用のソースコードです。
運用サーバの外部アクセスが可能な位置にアップされないようお願いいたします。

1.EC-CUBE2系で検証用ソースコードが含まれるバージョン

該当バージョン:EC-CUBE 2.12.0~2.13.5

2.検証用ソースコードを外部公開してしまうことの危険性
 
 検証用ソースコードを運用サーバにアップし、さらに外部からアクセス可能な
 状態にされますと、そこがセキュリティーホールとなり攻撃対象となります。


※上記検証用ソースコードを本番サーバにアップされていな場合は問題ございません。
※htmlディレクトリ以下をドキュメントルート(外部公開)にされている場合は
 問題ございません。
(testディレクトリがアクセス可能な状態はdataディレクトリもアクセスできる
 可能性も考えられ、アクセス権限の見直しが必要と考えられます。)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(2) 対応方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
検証用ソースコードが本番サーバのアクセス可能な位置にアップされている場合の
対応方法は以下の通りです。(対応は以下のどちらかで問題ございません。)

1.検証用ソースコードは運用上必要ないファイルですので、全て削除をお願いします。
 例:eccube-2.13.0/test/
   eccube-2.13.0/tests/
   以下ファイルを全て削除

2.検証用ソースコードを外部からアクセス不可の状態にする

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(3) 今後の方針
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
検証用ソースコードを本番サーバにアップしてしまうことに対する危険性がある
ことからEC-CUBE2.13系の最新版パッケージからは該当ソースコードを削除し、
再パッケージを実施いたします。

■再パッケージ対象バージョン:EC-CUBE 2.13.5(現状最新版)
■再パッケージ時期:2016年10月28日以降の上記対象パッケージ

上記日時より、該当パッケージには検証用ソースコードが同梱されません。
ご不便かと存じますか、必要な場合はGitHub上から取得をお願いいたします。]
https://github.com/EC-CUBE/eccube-2_13/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(4) お問い合わせ先
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE 運営チーム 梶原、銭谷
メール:support@ec-cube.net


今回は、セキュリティ関連ニュースをお届けいたしました。
今後も定期的にセキュリティ系情報をお送りいたします。
=====================================

EC-CUBE® DemoSite

デモサイトで体験

EC-CUBE® Download

無料ダウンロード

最新版 Ver 3.0.16

最新ニュースやECノウハウをお届けします