TAMURA Toshihiko
tamur****@bitsc*****
2007年 2月 18日 (日) 00:52:22 JST
こんにちは、田村です。 osCommerce MS1 日本語版 R8 をリリースします。 R7 以前のバージョンには、SQLインジェクション脆弱性が存在しますので、 その対策をまとめたものです。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■概要 osCommerce 2.2MS1J にSQLインジェクション脆弱性が存在します。 影響を受けるシステム: osCommerce 2.2MS1J R7 およびそれ以前 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■想定される影響 任意のユーザのブラウザ上で、任意のSQLを実行される可能性があります。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■対策 下のURLから最新版をダウンロードして、スクリプトを置き換えてください。 http://prdownloads.sourceforge.jp/tep-j/3606/oscommerce-2.2ms1j-R8.tar.gz 特に、catalog 側のファイルの置き換えを推奨します。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■R7 からの変更点 SQLインジェクション脆弱性に関連した変更ファイル: * catalog/: account_history_info.php, address_book_process.php, advanced_search_result.php, default.php, password_forgotten.php, popup_image.php, product_info.php, product_reviews_write.php, redirect.php, tell_a_friend.php, includes/application_top.php, includes/boxes/categories.php, includes/functions/cache.php, includes/functions/database.php: * admin/: banner_statistics.php, categories.php, configuration.php, customers.php, geo_zones.php, products_attributes.php, reviews.php, specials.php, includes/functions/database.php: その他の変更ファイル: * catalog/includes/application_top.php: modify cookie path * catalog/includes/: classes/order.php, modules/payment/cc.php: sanitize cc vaules. * catalog/includes/modules/payment/cod_table.php: change update_status for virtual products. -- 田村敏彦 / 株式会社ビットスコープ E-mail:tamur****@bitsc***** http://www.bitscope.co.jp/
