Magento 1.xの脆弱性パッチの状況(2016/5/27現在)

2016年08月31日 │ 天方

はじめに

以前に「Magentoの脆弱性対応について」でMagentoの脆弱性対応はどうなっているのかの概要について解説しました。
今回は、実際に公式のパッチがどれくらいでているのか、パッチの概要とサイズや行数をまとめ、 そこから見えてくるMagentoの脆弱性対応の状況を分析します。

パッチ一覧

2016/5/27現在のMagento1.xで公式で発表されているMagentoのパッチの一覧が以下の表です。

公開日パッチバージョンパッチ概要Community Editionの対象バージョンパッチの行※1パッチのバイト数※1
2014/01/17PHP5.4PHP5.4対応1.8.0以下40112996
2014/01/17APPSEC-212シンボリックリンクを使用する際にセキュリティ上の問題やCMSの問題に対処します1.8.1以下2317862
2014/02/12SUPEE-2725クレジットカードの検証を向上させます 1.8.1-1.7.x
1.6.1-1.4.2
27312836
2014/08/12SUPEE-3941拡張子に関連する問題に対処します1.9.x-1.8.x87631316
2014/08/12SUPEE-3762Magentoのインストールページを参照させるから繰り返しSOAPインデックスページがコールされる問題を防ぎます
注:このパッチが使用できなくなりました。代わりにSUPEE – 6788を使用してください。
6788に含まれる
2014/09/23SUPEE-4291/43349月7日のUSPSのAPIの変更に対応しています。1.9.x-1.7.x1886346
2014/09/23SUPEE-1868 2013年7月からUSPSのメソッド名との統合の更新、それらの優先順位およびExpressの出荷オプションにUSPSの変更をサポートする1.8.x-1.7.x113358282
2014/10/03SUPEE-1533潜在的なリモートからコードが実行される脆弱性を2件解決しました。1.9.x以下1906350
2014/11/26SUPEE-4829検索結果ページ上のスウォッチを選択した場合、製品のイメージが大きくなっている問題を修正します。1.9.11996173
2015/02/09SUPEE-5344 潜在的なリモートからコードが実行される脆弱性を解決しました。1.9.x以下2648567
2015/05/14SUPEE-5994顧客情報をリスクにさらす問題を含む複数の脆弱性に対応1.9.1.1以下131442636
2015/06/18SUPEE-62372015年5月31日のUSPS APIの変更に対応しています。1.9.1.x以下2106726
2015/07/07SUPEE-6285情報漏洩、リクエストフォージェリー、クロスサイトスクリプティングなどの複数の脆弱性への対応1.9.1.1以下103446118
2015/08/04SUPEE-6482APIに関連する二つの問題と2つのクロスサイトスクリプティングのリスクに対応する。1.9.2.0以下2086780
2015/10/27SUPEE-6788潜在的なリモートからコードが実行される、情報漏洩、クロスサイトスクリプティングの脆弱性に対応1.9.2.1以下5714188735
2016/01/20SUPEE-7405情報漏洩やクロスサイトスクリプティングの脆弱性に対応1.9.2.2以下2845117862
2016/01/20SUPEE-76162016年1月16日にUSPS メソッド名の変更に対応しています。1.9.2.2以下26310750
2016/02/23SUPEE-7405 v1.1パッチSUPEE – 7405で導入された問題を修正1.9.2.3以下2298192

この中には脆弱性対応以外にPHPのバージョンアップに対応するためのパッチや、外部連携先の仕様変更に伴うものも一部含まれています。
パッチは、Magento社が公開しているもののうち現在の方式で出されているもの(2014/1/17以降のパッチ)のみをまとめています。
また、Magentoのバージョン毎にファイルが違う場合もありますが、基本的に1.6.2用のもので行数やサイズを比較しています。
1.6.2用のものがない場合は、最新のバージョン用のパッチで行数やサイズを調べています。

年別の分析

年別で見ると

  • 2014年 9件(脆弱性ではない修正4件)
  • 2015年 6件(脆弱性ではない修正1件)
  • 2016年 3件(脆弱性ではない修正1件)
  • ※ 2016/5/27現在
となっています。去年の実績や、パッチのでているペースからいくと今年はあと3件ほどパッチがでそうだといえます。
また年別の行数合計は

  • 2014年 3491 行
  • 2015年 8744 行
  • 2016年 3337 行
  • ※ 2016/5/27現在
となっていました。今年はまだ半年ほどしか過ぎていないことも考えると、2015年と同じ程度の量のパッチがでる可能性がありますね。

偶然かもしれませんが、2014年より、2015年のほうが倍近くのボリュームになっています。
これは私の個人的な考えですが、Magento社のセキュリティ対策のリソースが以前よりも増えているために、修正量が増えているのではないかと考えています。
近年、Magentoそのもののシェアがあがったことにより攻撃者にとってターゲットとして認知されてきています。 そのため、セキュリティ対策が以前にも増して重要になったためなのではないでしょうか。

まとめ

攻撃者は攻撃をしてみてその挙動でパッチがあてられているか否かを判断し、 パッチがあてられていないことがわかった場合はさらなる攻撃を仕掛けてきます。 今後もパッチを当てていないサイトをターゲットにした攻撃は続くと思われますので、 できるかぎり速やかにパッチをあてて運用をすることをおすすめします。

開発・カスタマイズ