データベース不正アクセス問題 |
- 日時: 2011/10/16 06:29
- 名前: りり
- 昨日、Xserverから、次のようなメールが来ました。
この度、EC-CUBEの開発元である株式会社ロックオン社より、
EC-CUBE 2.11系統において
セキュリティ上の問題(脆弱性)があることが公表されました。
EC-CUBEにおきましては
弊社マニュアルにて導入手順を案内しており、
ご利用になられておりますユーザー様が多数おられますため、
詳細情報をご案内いたします。
■脆弱性が存在するEC-CUBEのバージョン
-----------------------------------------
EC-CUBE 2.11.0〜2.11.2
-----------------------------------------
■本脆弱性の詳細
SQL インジェクションの脆弱性が存在します。
※遠隔の第三者によって、当該製品で管理している情報を閲覧される
可能性があります。
◇詳細について
http://jvn.jp/jp/JVN44496332/
■対策方法
本脆弱性の対策が行われた最新バージョン『EC-CUBE 2.11.3』が
リリースされております。
EC-CUBE 2.11.0〜2.11.2をご利用の場合、
可能な限りEC-CUBE 2.11.3へのアップデートをご対応ください。
EC-CUBE 2.11.3へのアップデートが困難な場合、
下記ページを参照いただき、
ご対応くださいますようお願いいたします。
◇対策方法について (EC-CUBE公式ページ)
http://www.ec-cube.net/info/weakness/weakness.php?id=38
EC-CUBEは、自動インストールではないのですが、結構使われているのですね。
SQLインジェクションでの被害実例がこんなにあるので驚きました。
http://ja.wikipedia.org/wiki/SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3
セキュリティ対策ソフトのトレンドマイクロ社のWebサイトまで改竄されていたとは!
昔、 価格.comのWebサイトが、一時使えなくなって皆困っていましたが、これもこの問題だったのですね。
当時は、どのようにしてWebサイトが改竄されてしまうのか不思議だったのですが、データベースがらみだったのですね。
データベースを使っているCMSなども、注意が必要ということでしょうか?
 |
|
Re: データベース不正アクセス問題