【2014/05/30 06:00 更新】 2014年5月26日に判明した脆弱性への対応方法

2014年5月26日、CS-Cart日本語版のすべてのバージョンにおいて第三者による悪意のあるPHPスクリプトの実行を可能とする脆弱性が判明しました。

[2014/05/30 06:00 更新] 「STEP04. 管理画面URLの変更」を追加しました。
[2014/05/27 02:00 更新] CS-Cart開発元であるcs-cart.comより正式な対応方法が発表されました。
[2014/05/26 23:15 更新] 削除するファイル・フォルダが追加されました。

 

緊急措置として以下の対策を実施してください。

CS-Cartサーバープラン をご利用のお客様については、すでに対策済みのため作業は不要です。


 

STEP01. CS-Cartのバージョン確認

 

以下のURLを参照のうえ、ご利用中のCS-Cartのバージョンを確認してください。
http://tips.cs-cart.jp/check-version.html

 

STEP02. ファイルの削除

 

FTPソフトウェアなどでCS-Cartをインストールしたサーバーディレクトリにアクセスし、STEP01で確認したCS-Cartのバージョンに応じて以下の作業を実施してください。

※)下記については海外向け決済モジュール用のファイルであるため、支払方法の設定にて決済代行業者に(Atos、HSBC)を利用していない場合は削除を行ってもショップ運営に影響はありません。

 

【CS-Cart バージョン4系】

  • /[CS-Cartをインストールしたディレクトリ]/app/payments/atos.php
    を削除
  • [2014/05/26 23:15 追加]
    /[CS-Cartをインストールしたディレクトリ]/app/payments/atos_files
    ディレクトリ以下のファイルおよびフォルダを削除
  • [2014/05/26 23:15 追加]
    /[CS-Cartをインストールしたディレクトリ]/app/payments/hsbc.php
    を削除
  • [2014/05/26 23:15 追加]
    /[CS-Cartをインストールしたディレクトリ]/app/payments/hsbc_files
    ディレクトリ以下のファイルおよびフォルダを削除
  • /[CS-Cartをインストールしたディレクトリ]/images/thumbs.php
    を削除(ファイルが存在する場合のみ)
  • /[CS-Cartをインストールしたディレクトリ]/images/test.gif
    を削除(ファイルが存在する場合のみ)
  • [2014/05/27 02:00 追加]
    /[CS-Cartをインストールしたディレクトリ]/js/thumbs.php
    を削除(ファイルが存在する場合のみ)

 

【CS-Cart バージョン2系、3系】

  • /[CS-Cartをインストールしたディレクトリ]/payments/atos.php
    を削除
  • [2014/05/26 23:15 追加]
    /[CS-Cartをインストールしたディレクトリ]/payments/atos_files
    ディレクトリ以下のファイルおよびフォルダを削除
  • [2014/05/26 23:15 追加]
    /[CS-Cartをインストールしたディレクトリ]/payments/hsbc.php
    を削除
  • [2014/05/26 23:15 追加]
    /[CS-Cartをインストールしたディレクトリ]/payments/hsbc_files
    ディレクトリ以下のファイルおよびフォルダを削除
  • /[CS-Cartをインストールしたディレクトリ]/images/thumbs.php
    を削除(ファイルが存在する場合のみ)
  • /[CS-Cartをインストールしたディレクトリ]/images/test.gif
    を削除(ファイルが存在する場合のみ)
  • [2014/05/27 02:00 追加]
    /[CS-Cartをインストールしたディレクトリ]/js/thumbs.php
    を削除(ファイルが存在する場合のみ)

その他、アップロードした覚えのないファイルが2014年5月20日以降にサーバーにアップロードされていた場合は、それらのファイルも削除してください。

 

STEP03. images/.htaccessの編集

 

こちら から パッチファイルをダウンロード・解凍のうえ、サーバー上のCS-Cartをインストールしたディレクトリにアップロードしてください。
/[CS-Cartをインストールしたディレクトリ]/images/.htaccess を上書きする形となります。
※ アップロードした .htaccess のパーミッションは 644 など外部から書き換えできないよう設定してください。

 

STEP04. [2014/05/30 06:00 追加] 管理画面URLの変更

 

こちら を確認のうえ、管理画面アクセス用ファイルの名称を変更してください。
なお、すでにファイル名を admin.php から他のファイル名に変更済みの場合も再度変更をお願いいたします。


 

[2014/05/30 06:00 更新] 本脆弱性に関する被害状況について

2014年5月30日午前6時現在、cs-cart.comの調査により以下の事が判明しています。

  • 本脆弱性を利用した攻撃は手動ではなくボットプログラムにより行われている
  • ボットプログラムにより前述の thumbs.php などのファイルがアップロードされたサーバーであっても、2014年5月27日までに本記事に記載した対策を実施した場合は、データベース上の情報の抽出および外部への不正な送信は行われていない。
  • 本記事に記載した対策を実施していない、または2014年5月28日以降に実施したCS-Cartに関する顧客情報等の漏洩については現在のところ確認されていないが、早急に対策が必要

 

本脆弱性への対策が完了していないCS-Cartは、今後攻撃を受け顧客情報の漏洩などの深刻な被害を被る可能性があります。
お手数ですが早急な対応をお願いいたします。