概要

このページでは、Zen Cartのセキュリティパッチの適用における
重要性について説明します。

脆弱性を放っておく危険性

脆弱性を放っておいた場合、その脆弱性を突いた攻撃をされて、
下記のような『取り返しの付かない事態』に発展するケースが起きえます。

  • サイトが改ざんされ、フィッシングサイトの偽サイトとして利用されてしまう
  • スパムメールのメール送信元サーバーとして利用されてしまう
  • 顧客情報が盗まれて転売されたり、カード情報を抜き取られて使用されたりしてしまう

特に危険な脆弱性

2009年6月の脆弱性は特に危険で、これを放置したままにしておいて 脆弱性を突いた攻撃をされてしまい、サーバー内にファイルを削除 してしまうツールを仕込まれてサーバー内のファイルが消えてしまった。 というケースもあります。

zen-cart-v1.3.0.2-l10n-jp-5 のセキュリティパッチで修正しているので、
zen-cart-v1.3.0.2-l10n-jp-4 より古い場合は、パッチを適用することを 強くおすすめします。
(現在jp5以上のパッチが出ているので最新パッチの適用を推奨致します)

2009年6月の脆弱性の詳細はLAC様のサイトなどで確認ください。

現状のセキュリティパッチがどこまで当たっているかを確認するには?

管理画面の「追加設定・ツール」の「サーバー情報のチェック」にて 確認できます。

【画像】セキュリティパッチを確認する方法

パッチの適用はどのようにするの?

この記事を書いている現在の最新は、zen-cart-v1.3.0.2-l10n-jp-6 ですが、
zen-cart-v1.3.0.2-l10n-jp-2 などかなり古いバージョンを 利用されている場合は、1つずつパッチを適用していく必要があります。

つまり、上述のセキュリティパッチ適用の確認で
zen-cart-v1.3.0.2-l10n-jp-2 と表示されたなら、
まずは zen-cart-v1.3.0.2-l10n-jp-3 のセキュリティパッチを適用し、
次に zen-cart-v1.3.0.2-l10n-jp-4 のセキュリティパッチを適用、
順に zen-cart-v1.3.0.2-l10n-jp-5, zen-cart-v1.3.0.2-l10n-jp-6 と 適用していきます。

また、セキュリティパッチで提供しているファイルを カスタマイズしていたり、オーバーライドしている場合は、 カスタマイズしたファイルを修正する必要があります。

ファイルを修正する際は、"WinMerge" を使用して、 あなたが運用しているZen Cart上のこれらのファイルと セキュリティパッチのファイルの修正差分を確認し、 手動で差分をマージすると良いでしょう。

WinMerge 日本語版
http://www.geocities.co.jp/SiliconValley-SanJose/8165/winmerge.html

自分でパッチを当てる困難な場合は、パッチの適用を請け負う業者もあるので、 検索してみてはいかがでしょうか。

まとめ

これまで「セキュリティパッチがどこまで当たっているかの確認」と、 「パッチの適用方法」について説明しました。

面倒で時間がかかり、他人に依頼したらお金もかかりますが、 「脆弱性を放っておく危険性」で指摘したような事態に発展すると、 ショップの信頼を大きく損ねることになります。

セキュリティパッチの適用は欠かさず対応するようによろしくお願いします。