Magento 1.xの脆弱性パッチの状況(2016/5/27現在)
はじめに
以前に「Magentoの脆弱性対応について」でMagentoの脆弱性対応はどうなっているのかの概要について解説しました。
今回は、実際に公式のパッチがどれくらいでているのか、パッチの概要とサイズや行数をまとめ、
そこから見えてくるMagentoの脆弱性対応の状況を分析します。
パッチ一覧
2016/5/27現在のMagento1.xで公式で発表されているMagentoのパッチの一覧が以下の表です。
公開日 | パッチバージョン | パッチ概要 | Community Editionの対象バージョン | パッチの行※1 | パッチのバイト数※1 |
---|---|---|---|---|---|
2014/01/17 | PHP5.4 | PHP5.4対応 | 1.8.0以下 | 401 | 12996 |
2014/01/17 | APPSEC-212 | シンボリックリンクを使用する際にセキュリティ上の問題やCMSの問題に対処します | 1.8.1以下 | 231 | 7862 |
2014/02/12 | SUPEE-2725 | クレジットカードの検証を向上させます | 1.8.1-1.7.x 1.6.1-1.4.2 | 273 | 12836 |
2014/08/12 | SUPEE-3941 | 拡張子に関連する問題に対処します | 1.9.x-1.8.x | 876 | 31316 |
2014/08/12 | SUPEE-3762 | Magentoのインストールページを参照させるから繰り返しSOAPインデックスページがコールされる問題を防ぎます 注:このパッチが使用できなくなりました。代わりにSUPEE – 6788を使用してください。 | 6788に含まれる | – | – |
2014/09/23 | SUPEE-4291/4334 | 9月7日のUSPSのAPIの変更に対応しています。 | 1.9.x-1.7.x | 188 | 6346 |
2014/09/23 | SUPEE-1868 | 2013年7月からUSPSのメソッド名との統合の更新、それらの優先順位およびExpressの出荷オプションにUSPSの変更をサポートする | 1.8.x-1.7.x | 1133 | 58282 |
2014/10/03 | SUPEE-1533 | 潜在的なリモートからコードが実行される脆弱性を2件解決しました。 | 1.9.x以下 | 190 | 6350 |
2014/11/26 | SUPEE-4829 | 検索結果ページ上のスウォッチを選択した場合、製品のイメージが大きくなっている問題を修正します。 | 1.9.1 | 199 | 6173 |
2015/02/09 | SUPEE-5344 | 潜在的なリモートからコードが実行される脆弱性を解決しました。 | 1.9.x以下 | 264 | 8567 |
2015/05/14 | SUPEE-5994 | 顧客情報をリスクにさらす問題を含む複数の脆弱性に対応 | 1.9.1.1以下 | 1314 | 42636 |
2015/06/18 | SUPEE-6237 | 2015年5月31日のUSPS APIの変更に対応しています。 | 1.9.1.x以下 | 210 | 6726 |
2015/07/07 | SUPEE-6285 | 情報漏洩、リクエストフォージェリー、クロスサイトスクリプティングなどの複数の脆弱性への対応 | 1.9.1.1以下 | 1034 | 46118 |
2015/08/04 | SUPEE-6482 | APIに関連する二つの問題と2つのクロスサイトスクリプティングのリスクに対応する。 | 1.9.2.0以下 | 208 | 6780 |
2015/10/27 | SUPEE-6788 | 潜在的なリモートからコードが実行される、情報漏洩、クロスサイトスクリプティングの脆弱性に対応 | 1.9.2.1以下 | 5714 | 188735 |
2016/01/20 | SUPEE-7405 | 情報漏洩やクロスサイトスクリプティングの脆弱性に対応 | 1.9.2.2以下 | 2845 | 117862 |
2016/01/20 | SUPEE-7616 | 2016年1月16日にUSPS メソッド名の変更に対応しています。 | 1.9.2.2以下 | 263 | 10750 |
2016/02/23 | SUPEE-7405 v1.1 | パッチSUPEE – 7405で導入された問題を修正 | 1.9.2.3以下 | 229 | 8192 |
この中には脆弱性対応以外にPHPのバージョンアップに対応するためのパッチや、外部連携先の仕様変更に伴うものも一部含まれています。
パッチは、Magento社が公開しているもののうち現在の方式で出されているもの(2014/1/17以降のパッチ)のみをまとめています。
また、Magentoのバージョン毎にファイルが違う場合もありますが、基本的に1.6.2用のもので行数やサイズを比較しています。
1.6.2用のものがない場合は、最新のバージョン用のパッチで行数やサイズを調べています。
年別の分析
年別で見ると
- 2014年 9件(脆弱性ではない修正4件)
- 2015年 6件(脆弱性ではない修正1件)
- 2016年 3件(脆弱性ではない修正1件) ※ 2016/5/27現在
また年別の行数合計は
- 2014年 3491 行
- 2015年 8744 行
- 2016年 3337 行 ※ 2016/5/27現在
偶然かもしれませんが、2014年より、2015年のほうが倍近くのボリュームになっています。
これは私の個人的な考えですが、Magento社のセキュリティ対策のリソースが以前よりも増えているために、修正量が増えているのではないかと考えています。
近年、Magentoそのもののシェアがあがったことにより攻撃者にとってターゲットとして認知されてきています。 そのため、セキュリティ対策が以前にも増して重要になったためなのではないでしょうか。
まとめ
攻撃者は攻撃をしてみてその挙動でパッチがあてられているか否かを判断し、 パッチがあてられていないことがわかった場合はさらなる攻撃を仕掛けてきます。 今後もパッチを当てていないサイトをターゲットにした攻撃は続くと思われますので、 できるかぎり速やかにパッチをあてて運用をすることをおすすめします。