スポンサーサイト

--年--月--日 --:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Zen Cart ってSecurityPatch解り難いよ・・・

2009年12月21日 22:39

ちょっと仕事でZenCartを触る機会があったんだけど、
SecurityPatchの状況が非常に解り辛い状態だったので書いてみる。

ちなみに、カートシステム自体を触ったわけでもなく
PHPも読めても書けない人なので詳しいことは解らない。
あくまで、セキュリティ検証で触った程度なので。


http://www.zen-cart.com/

まず、公式にある最新版1.3.8aなのだが
これは脆弱性が存在するバージョンのようです。
なんせ、
更新日が「2007-12-11」
古すぎ。

枯れててそうならいいんだけど、
どうもフォーラムでパッチやコードを公開しているみたいだ。
ところが、これが解りにくい。正直探せない。
公式サイトでアップデート情報をうまく取り出す方法があったら
誰か教えてほしいですw


仕方がないので、CVEから引っ張り出すことに。


「Zen Cart」で検索し、日付なんかを参考に
1.3.8a以降の脆弱性をピックアップ


http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4323
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4322
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4321
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6986
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6985
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6878
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6877
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2255
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2254
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6616
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6615


こんなに出てきますw
詳細を説明するのはムリなので省略。

簡単に眺めただけでも
「SQLインジェクション」
「XSS」
「任意のコードを実行」
「任意のファイル読み取り」

とまぁやりたい放題です。



といっても対応自体はそれほど難しいことではなく。
何種類かの修正で対応できます。

●adminフォルダの制限
http://www.zen-cart.com/forum/showthread.php?t=130161

adminのrenameと、出来ればIPアドレスなどで制限をかけることが望ましいです。
あと、セキュリティバイパス的なパッチもあった気がするけど、
運用上気にする必要がなければ無視していいはずです。

これ以上調べるのもう疲れたw

●不要フォルダの削除
http://www.zen-cart.com/forum/showthread.php?t=142784

- /docs
- /extras
- /zc_install
- /install.txt

これを削除するなり外部からアクセス不能に。


●/includes/classes/shopping_cart.phpを修正
http://www.zen-cart.com/forum/showthread.php?p=604473

詳細はフォーラムを参照してください。
あと名前のとおり非常に重要なファイルなので
修正は慎重に


これで対応出来るはず。
だけど、いろいろ調べすぎてわけが解らなくなってるので
ほんとに大丈夫か自信なかったりw
(追記:nessusのプラグイン最新にしてスキャンするといろいろ検知出来ます)


ZenCartの開発者は、フォーラムで対応するんじゃなくて
わかりやすい場所での告知と、adminやinstallerは抜本的な対応をしてほしいです。

正直、この状態で公開してるのを見ると、
脆弱性を残したままのZenCart製ショッピングサイトは世界中に相当数あるんじゃないかと。
普通に考えて
多少気にする人でも、最新版落として後は更新チェックするくらいで
放置すると思う。


こんなんじゃ、ZenCart製ショッピングサイトを利用するときは
どうせ個人情報だだ漏れだろ、くらいの気分で使わざるをえない・・・



あと、ぜんぜん関係ないけど今回情報を参照してて思ったんだけど
securityfocusの情報書いてる人、プログラムの事さっぱり解ってないよね、たぶん。

あまりにも誤読というか、曲解というかが多すぎて
まったくあてにならないというか、逆に壮絶に俺を混乱させてくれたよ。
まぁ書いてる人全員がそうというわけじゃないと思うけど・・・

スポンサーサイト


コメント

    コメントの投稿

    (コメント編集・削除に必要)
    (管理者にだけ表示を許可する)

    トラックバック

    この記事のトラックバックURL
    http://skitai.blog98.fc2.com/tb.php/51-bbacbf07
    この記事へのトラックバック


    最近の記事


    上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。