■ 2010-02-15 ZenCartPro バージョンアップファイル公開 v1.3.6 to v1.3.8
ZenCartProへの最新版へのバージョンアップファイルを準備いたしました。
主な修正・変更点:・「2010-02-12 生年月日入力で「1969年」が正しく動作しない不具合への修正」の適用
・「2009-11-30 XSS対応パッチ」の適用
・「2009-07-24 htmlarea の不具合に関する修正」の適用
・IE8利用時に「互換モードの不安定性」に起因する意図しないログオフ等の
動作に対応するためにセキュリティチェック時に「IE8とIE7」のみの違いを許可
・携帯でのアクセス時のIPアドレスによる判別で最初にキャリアの発表している
IPレンジかどうかの判別を追加
・管理画面からしか表示しないヘルプ情報を管理画面内に移動。同時に絵文字パレット用の画像のまとめ直し
バージョンアップファイル: 「追加修正スクリプト(※会員専用ページ)」
■ 2010-02-12 生年月日入力で「1969年」が正しく動作しない不具合への修正
会員登録・顧客管理において、生年月日に「1969年」を指定しても正しく登録されない不具合の修正
対象プログラム:
・ Zen Cart Pro 及び ZenCartPro-R 各バージョン
Pro-R用修正ファイル:http://ssl.bigmouse.biz/pro/product/category-58/products-126/
■ 2009-11-30 XSS対応パッチ
zen-cart.com で報告されたXSSへの脆弱性対応のための修正パッチです。
対象プログラム:
・ Zen Cart Pro 及び ZenCartPro-R 各バージョン
修正ファイル:http://ssl.bigmouse.biz/pro/product/category-58/products-124/
■ 2009-09-09 ZenCartPro-R バージョンアップファイル公開 v1.0.4 to v1.1.1
ZenCartPro-Rへの最新版へのバージョンアップファイルを準備いたしました。
概要:・配送モジュールに機能追加。
送料無料商品」が存在する際の全体の送料計算方式を選択可能にいたしました。
・管理画面脆弱性対応
v138_20090619セキュリティパッチ適応
管理画面でのファイルアップロードにも拡張子による制限を付与
・携帯サイト 注文最終確認画面のレイアウト調整
・携帯サイトにおいて、決済代行サービスなどによって外部より$_GET $_POSTの
値がUTF-8で送られてきた場合のための文字化け対策追加
等各種機能追加およびバグフィックス
バージョンアップファイル: 「追加修正スクリプト(※会員専用ページ)」
■ 2009-07-24 htmlarea の不具合に関する修正
ZenCartPro (zencart各バージョン)に採用されている、HTMLエディタ 「 htmlarea 」の修正されていない不具合に対して独自の対応をいたしました。
現象:
管理画面より htmlarea を有効にした状態で編集画面を開いた場合、相対パスで指定された参照先に対して自動的に管理画面までのURLを追加し、そのまま保存すると変更された内容でデータが上書きされる。
この現象は InternetExplore(及びIE系ブラウザ)を利用した場合にのみ発生し、FireFox などでは発生しません。
対応内容:
htmlarea を使って編集画面を開いた場合に、もし管理画面までのURLが含まれる
リンクが存在していた場合、その部分を削除する
※ この対応により「あえて管理画面内のファイルに対してリンクを記述している場合も削除対象」となりますが、Zencart での運用において、管理画面へのURLを記述する事はないものと想定でき、なおかつセキュリティ上「記述させない」方が良いと判断してこうした対応に決定いたしました。
修正ファイル: 「htmlarea 修正ファイル」 (htmlarea_20090724)
■ 2009-06-30 アタックによるリソース消費を軽減するための修正
既知のセキュリティホールに関しては、全て対応を行っていますが、それでもハッカーたちはしつこくアタックを続けてきます。こうした不正なアクセスによるサーバーリソースの消費を出来るだけ抑える様にしたいものです。
以下の修正は、2009年6月22日 zen-cart.com で提案された内容です。
http://tutorials.zen-cart.com/index.php?article=320
Zen Cart Pro シリーズでは、次回のバージョンアップの際に対応予定ですが、ご自身で修正していただく事も可能です。
詳細はヘルプサイトに記載しておりますのでご参照ください。
http://www.zencart-pro.com/help/node/151#whoisonline
■ 2009-06-24 管理画面の脆弱性対応セキュリティパッチ
2009-06-21 に zen-cart.com でアナウンスされた管理画面に関する脆弱性対応のためのセキュリティパッチです。
このセキュリティパッチファイルは、2009年6月21日 zen-cart.com によりリリースされたセキュリティパッチに、Zen Cart Pro シリーズ用の修正を加えたものです。
今回のパッチファイルで上書き対象となっているファイル html_output.php には、別途最新バージョンにおいて行ったバグフィックス対象ファイルであったため、バグフィックス分を含めてのリリースとさせていただきます。
修正内容: 管理画面において、キーワード検索時に文字化けを発生させるケースがあったため正しく文字コードを取得するよう修正。
対象プログラム:
・ Zen Cart Pro 及び ZenCartPro-R 各バージョン
修正ファイル:http://ssl.bigmouse.biz/pro/category-58/
また、ご自身で修正される場合のためにヘルプサイト内に修正内容を解説しておりますので、そちらもご参照ください。
ヘルプサイト: http://zencart-pro.com/help/node/179
■ 2009-06-22 セキュリティパッチに関して
2009-06-21 に zen-cart.com でアナウンスされている管理画面に関する脆弱性の問題に対してセキュリティパッチがリリースされております。
※ 現在セキュリティパッチの内容を検証中であり、必要であると判断した段階で ZenCartPro 用に専用パッチを準備いたします。
基本的には管理画面のURLが知られていない限り、問題になりにくい部分ですので、まずはヘルプサイトに記載している内容を参考に、管理画面のURLを想定しにくいアドレスにするようお勧めいたします。
以下概要・・・
Zencart1.3.8 及びそれ以前のバージョンに対して、管理画面における脆弱性の
問題が発見されました。
この脆弱性を利用するには、攻撃者は管理画面のURLを知っている必要があります。
セキュリティに関するお勧めの中で指摘しているように、利用中のZencartの
admin エリアのフォルダ名を変更するようにすべきです。
しかしながら、"Security through obscurity"(隠すことによる安全)に頼るだけ
では、不十分であるため、対応パッチをリリースいたします。。
修正ファイル: zen-cart.com(本家オフィシャルサイト)の記事を参照
ヘルプサイト内にセキュリティアップに関する対応方法を解説しておりますので、そちらをご参照ください。
ヘルプサイト: http://zencart-pro.com/help/node/151
「2. /admin フォルダ の名前を変更します。」の項目を参照
■ 2008-09-20 セキュリティパッチに修正
2008-09-19 に掲載したSQLインジェクションの問題への対応方法に問題があり、修正されたセキュリティパッチがリリースされております。
2度にわたり公表されたSQLインジェクションへの対応方法ですが、その両方に問題がある事が判り、9月19日分の修正と、8月31日分の修正に対して追加修正作業が必要になります。
もし、8月31日分の修正を行っていない場合には、「今回のパッチの適用」によって9月19日のセキュリティパッチを上書きする(もしくは新規追加)だけで問題ありません。
修正ファイル: zen-cart.com(本家オフィシャルサイト)の記事を参照
ヘルプサイト内に適用方法を解説しておりますので、そちらをご参照ください。
ヘルプサイト: http://zencart-pro.com/help/node/179
■ 2008-09-20 セキュリティアップデート
2008-08-31 で報告のあった脆弱性に対する対応が十分では無かったため追加されたセキュリティパッチが適用されました。
Zencart1.2.0以降のすべてのバージョンに影響がある物であり、Zen Cart Pro にも同様の危険性があります。
前回の修正を行っておられる方も、そうでない方も修正ファイルを適用なさってください。
※前回の修正分はそのままにしておいても問題ありません。
※前回の修正を適用されていない場合も、今回のセキュリティパッチの適用だけで問題ありません。
修正ファイル: zen-cart.com(本家オフィシャルサイト)よりダウンロード
ヘルプサイト内に適用方法を解説しておりますので、そちらをご参照ください。
ヘルプサイト: http://zencart-pro.com/help/node/179■ 2008-09-01 セキュリティアップデート
2008-08-31 http://www.zen-cart.com/forum/showthread.php?p=604473 で報告のあったセキュリティ上の問題に対する対応をいたしました。
Zencart本家開発コミュニティで報告されたSQLインジェクションの脆弱性に関する問題は、Zencart1.2.0以降のすべてのバージョンに影響がある物であり、Zen Cart Pro においても同様の脆弱性が認められたため修正ファイルを作成し、すべての登録ユーザー様にメールにてお送りさせていただきました。
もし、まだ修正ファイルの適用がお済みではないユーザー様はすぐに対応いただくか、弊社までご相談ください。
修正ファイル:http://ssl.bigmouse.biz/pro/category-58/
なお、修正ファイルは以下のページよりログイン後取得可能です。
また、ご自身で修正される場合のためにヘルプサイト内に修正内容を解説しておりますので、そちらをご参照ください。
