2020-02-18 Chrome 80 問題に対する SameSite 対応
Chrome 80 リリースにおいて、セキュリティとプライバシー強化が行われます。
これに伴い、リンク方式を使い「支払いサイト」に移動してカード等での手続きを終えてからZencart に戻ってきて注文完了」という方式や、ゲートウェイ方式であっても 3Dセキュアを使うことで、visa や master の認証画面に画面遷移が発生するタイプの場合、正常に処理が終了しないケースが発生することが懸念されています。
※基本的には、3Dセキュアや、外部サイトで支払いをしてくるタイプの決済を使っていない限りは緊急な対応は必要ないと思われます。
現状(2020年2月18日現在)において、zen-cart.com での正式対応は発表されていませんが、ZencartProユーザーの皆様で上記のような支払い方法をご利用の場合、「お金を払ったのに注文が無い」というトラブルを事前に防止するため、早めに修正を行うことをおすすめします。
修正ファイルと手順については、ログイン後に表示される「バージョンアップ」の項目よりご覧いただけます。
■ 2019-09-12 「軽減税率対応商品による複数税率設定について」
頻繁にお問合せをいただくようになった、Zencartの税率設定機能についてですが、「ZenCartPro ヘルプサイト」http://www.zencart-pro.com/help/node/70に必要な手順を記載しておりますので、是非そちらをご参照ください。
また、これと合わせて「複数税率に対応した楽天市場の item.csv に対応するためのバージョンアップ(Pro-R)」も公開中です。
先日公開したセキュリティパッチと、管理画面の商品マスタCSV入出力へのバージョンアップだけですので、他のバージョンアップ作業を行っていないショップ様でも単独で導入可能です。
■ 2019-07-19 「v156c より前の全てのバージョンに対するセキュリティパッチ」
Zencart 全バージョンに存在している顧客への商品の通知機能にある "notyfy" パラメータのサニタライズに関するセキュリティ上の脆弱性が報告されました。 SQLインジェクションに繋がる可能性があります。
注1:v1.3.8 まではパッチのテストしました。それ以前のバージョンでの検証は行っておりません。
注2:セキュリティパッチはv1.5.6c(2019-07-19リリース)、およびv1.5.7開発ブランチに直接組み込まれています。
・ ダウンロード=>「商品の通知 セキュリティパッチ」 (security_patch_notify_20190707)
ダウンロードしたファイルを解凍し、指定のディレクトリに追加してください。ファイルは一つだけです。
インストール先:/includes/extra_configures/security_patch_notify_20190707.php
■ 2019-06-20 PHP7のサーバー環境に対応するためのバージョンアップについて。
PHP5系へのサポート終了に伴い、PHP7への対応が急務となっておりましたが、ようやく安定稼動するためのバージョンアップファイルの準備が出来ましたので、公開いたします。
ご利用者様より、PHP7.3 対応のご希望が多かったこともあり、準備にかなり時間が掛かってしまいました。なにとぞご容赦ください。
※ このバージョンアップにより、PHP7.3までに対応します。
※ MySQL5.6やMariaDBでも動作しますが、MySQL5.7には非対応です。ご注意ください。
※重要!
このバージョンアップは、ZenCartProシリーズの各最新バージョンに対する追加修正ですので、必ず全てのバージョンアップを順序どおりに適用した状態で追加するようにお願いします。
途中のバージョンアップファイルが抜けているなどすると、障害発生の原因となります。
ご利用中の ZenCartPro の現在のバージョンは、ZenCartProのインストールディレクトリにFTPアクセスしていただき、
/includes ディレクトリ直下に、 version.php というファイルを開いてみてください。
このファイルの最下部に以下のような部分がございますので、ここで確認可能です。
(下の事例であれば、バージョンは 2.2.1 です)
define('PRO_VERSION_NUMBER', '2.2.1');
また、バージョンアップファイルの適用により、既に自社で行われた修正に対する上書きや発生するなどすることもございますので、必ずバックアップを取った状態で、差分をチェックし、必要に応じてマージ作業を行っていただきますようお願いいたします。
※PHP7系への対応のため、古い環境のサーバーに対する互換性がなくなっております。事前に希望するサーバー環境のテストサイトで動作確認を行い、絶対に稼動中のサーバーに直接アップロードするようなことは避けてください。
■ 2017-06-30 各種クレジットカード決済サービスの「非通過型」対応について。
近年のネット取引の拡大と、ネット上でのクレジットカードの利用増加に伴い、セキュリティ対策が不十分なECサイトにおいて「不正アクセス」によるカード情報漏洩が拡大、取得したカード情報での成りすましなどによる犯罪被害が拡大しています。
この状況に対して緊急に対応するため、経済産業省/日本クレジット協会は。2016年2月「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を公表し、その中ですべてのEC加盟店において2018年3月末までにカード情報非保持化もしくはPCIDSS準拠が求められました。
さらにカード情報が通信されることがないようにするための「カード情報の非通過型接続」による決済への対応が求めれら、各決済代行会社ではそれぞれが JavaScript を利用して、決済サーバーへの通信の前にブラウザ内でカード情報を暗号化した後にデータ送信を行なう「トークン決済」に対応した接続サービスを提供開始しています。
これに伴い、クレジットカードをショップ上の画面で入力するタイプのECサイトはすべて来年の3月までにトークン決済(カード情報非通過型)への対応が必要となります。
弊社では、すでに「ペイジェント」「GMOペイメント」「Zeus」「ベリトランス」の接続モジュールをトークン決済に対応完了しております。
同対応は、カード情報を入力するために決済代行会社の準備した画面い移動するリンク型以外の「すべてのクレジットカード決済サービス」が対象となりますので、対象となるショップ様が極めて多く、ぎりぎりになってのご依頼の場合、ご要望が込み合ってしまい対応できなくなることも予想されます。
早めの対応をおすすめさせていただきます。
■ 2015-02-26 Paypal実装環境変更対応ファイルを準備しました
ペイパルより発表されている、一連のセキュリティアップグレード計画において、ほとんどの部分はサーバー側の設定に依存しておりますが、一部接続モジュール自体への変更が必要な部分がございますので、以下の修整を行なったファイルを準備いたしました。
修正点:
・IPN認証のポストバックをHTTP ではなく、HTTPS に変更
・新仕様になったPaypal のサンドボックスを利用できるよう、サンドボックス接続先の設定を変更
合わせてエラー発生時の言語定義をひとつ追加しております。
ダウンロードしたファイルを解凍後に出てくる「お読みください.txt」ファイルを参考に設置してください。
■ 2015-02-26 JVN#44544694 XSS脆弱性対応パッチ
「JVN#44544694 日本語版 Zen Cart におけるクロスサイトスクリプティングの脆弱性」に関するパッチファイルです
・ 詳細と修正ファイルのダウンロードはこちら=>「追加・修正スクリプト」
■ 2014-04-01 ヤマト運輸新料金表対応修正ファイル
弊社提供の「国内配送モジュールパック for ZenCartPro」をご利用のユーザー様向けの2014年4月1日からの新送料体系にあわせた送料計算表の修正ファイルです。
・ 詳細と修正ファイルのダウンロードはこちら=>「無料追加モジュール(for Pro)」
■ 2013-05-23 レスポンシブWEBデザイン基本テンプレート公開
パソコンのモニターがどんどん大画面になる一方、スマートフォンやタブレットなどの急速な普及により、各デバイスの環境に適正化したレイアウトでのWEBサイト表示に需要が高まっています。
Zencart が提供するECサイトにシステムにも同様のニーズが高いため、テンプレートレベルで追加可能なレスポンシブWEBデザインの基本テンプレートを準備いたしました。
導入後にスタイルシートなどを調整してご希望のデザインに調整できるよう、出来る限り Zencart の基本機能を損なわないようにシンプルなテンプレートの形で準備しております。
※ 既に提供中の「スマートフォン用テンプレート」との共存も可能です。(スマートフォンでのアクセスに対して、レスポンシブデザインテンプレートを対応させるように設定する事もできます)
・ Zen Cart Pro (基本色をブルーにしてみました)
http://demo.zencart-pro.com/pro_base_responsive/
・ ZenCartPro-R (ZenCartProシリーズのスマートフォン用テンプレートを生かしています)
http://demo.zencart-pro.com/pro-r_base_responsive/
ZenCartProシリーズ各バージョンへの対応版 (42,000円)
ご購入をご希望の方は、お気軽にお問合せください。
■ 2013-04-02 「カテゴリ削除処理のバグフィックス(b20130402)」
カテゴリ削除時に誤った操作をすると意図せぬカテゴリが削除されてしまう危険が存在していたため、修正ファイルを準備いたしました。すべてのカテゴリと以下の全商品が一括削除されてしまう危険性があるバグですので、必ず対応するようにおすすめいたします。
対象バージョン: 公開されているZencart の全てのバージョン
修正箇所:
※表示されている行数は、バージョンによって異なります。
直前の記述 " // delete category and products" などで検索して対象を見つけてください。
↓Clickで拡大↓
このように変更します。
・ 詳細と修正ファイルのダウンロードはこちら=>「追加・修正スクリプト」
if (isset($_POST['categories_id'])) { … の記述を以下のように置き換えます。
if (isset($_POST['categories_id']) && $_POST['categories_id'] != '' && is_numeric($_POST['categories_id']) && $_POST['categories_id'] != 0) {
■ 2012-10-11 「テスト用スクリプトファイルへのアクセス制限(pro_b20121011)」
Zencart 全バージョンに存在しているテスト用のスクリプトがおかれているディレクトリ /extras が、外部からの悪意のある利用を受ける危険性にさらされていたため、同ディレクトリとファイルに対してアクセス制限をつけました。・ ダウンロード=>「テスト用スクリプトファイルへのアクセス制限 (pro_b20121011)
■ 2012-10-11 ZenCartPro 及び ZenCartPro-R バージョンアップ。
詳細はログイン後、「バージョンアップ(Pro)、「バージョンアップ(Pro-R)」、を参照ください。※ 最新バージョンは、以下の通りです。
(「テスト用スクリプトファイルへのアクセス制限 (pro_b20121011)」も含まれております。)
・ ZenCartPro (ver.2.1.4)
・ ZenCartPro-R (ver.2.1.2)
■ 2011-11-30 ZenCartPro-R バージョンアップ用差分ファイル公開。最新バージョンは ver.2.1.1 です。
■ 2011-11-22 無料モジュールとして提供している、"Google Analytics"用トラッキングモジュールをバージョンアップし、PC・携帯・スマートフォンを個別にトラッキング出来るように致しました。
詳細はログイン後、「無料追加モジュール(for Pro)、「無料追加モジュール(for Pro-R)、を参照ください。■ 2011-10-28 「友達に知らせる」の悪用を避けるための追加機能を準備しました。
詳細はログイン後、「無料追加モジュール(for Pro)、「無料追加モジュール(for Pro-R)、を参照ください。■ 2011-10-25 iPhone テンプレートへの拡張機能を追加しました。
詳細はログイン後、「無料追加モジュール(for Pro)、「無料追加モジュール(for Pro-R)、を参照ください。■ 2011-9-27 ニックネームによるレビュー投稿無料モジュールの提供開始
詳細はログイン後、「無料追加モジュール(for Pro)、「無料追加モジュール(for Pro-R)、を参照ください。■ 2011-06-22 PHP5.3 対応のためバージョンアップファイルを準備しました。
詳細はログイン後、「追加修正スクリプト」ページをご参照ください。■ 2011-06-09 SQLインジェクション対応のための追加修正を行いました。
詳細はログイン後、「追加修正スクリプト」ページをご参照ください。■ 2010-11-10 郵便番号データ更新機能 調整を行いました。
詳細はログイン後、「追加修正スクリプト」ページをご参照ください。■ 2010-10-18 お買いものポイントモジュール 仕様の変更を行いました。
詳細はログイン後、「追加修正スクリプト」ページをご参照ください。■ 2010-10-18 スマートフォン対応テンプレート バグ修正を行いました。
詳細はログイン後、「追加修正スクリプト」ページをご参照ください。■ 2010-08-10 既存の ZenCartPro、ZenCartPro-R ユーザー様向け、iPhone スマートフォン表示用テンプレートシステムをバージョンアップ差分ファイルとして準備致しました。
通常のバージョンアップと同様に、修正用差分ファイル一式を準備しておりますので、ログイン後「バージョンアップ」のメニューよりファイルをダウンロードしていただけます。・ ZenCartPro ご利用者様
・ ZenCartPro-R ご利用者様
■ 2010-08-09 ZenCartPro、ZenCartPro-R バージョンアップ用差分ファイルをプログラムごとにまとめて掲載するよう整理致しました。
・これまでバージョンアップファイルと修正用スクリプト類を一緒に掲載しておりましたが、「ZenCartPro」「ZenCartPro-R」それぞれの過去のバージョンアップ用ファイルをダウンロードしやすいようカテゴリにまとめて掲載するようにいたしました。※ スマートフォン対応前の最新バージョンは、以下の通りです。
・ ZenCartPro (ver.1.3.9)
・ ZenCartPro-R (ver.1.1.5)
■ 2010-07-14 ZenCartPro、ZenCartPro-R iPhone(スマートフォン)対応テンプレートを追加してバージョンアップ ver.2.0.0 となります。
ZenCartProが、iPhone(スマートフォン)表示に対応しました。
主な修正・変更点:・スマートフォン専用テンプレートの追加
・スマートフォン用画面において表示する商品名・商品説明文等の情報を「PC用」「モバイル用」から選択可能
・スマートフォン専用「定番ページ」の追加
※ すでに導入済みのショップ様向けのバージョンアップファイルは現在準備中です。
もうしばらくお待ちください。
■ 2010-02-12 生年月日入力で「1969年」が正しく動作しない不具合への修正
会員登録・顧客管理において、生年月日に「1969年」を指定しても正しく登録されない不具合の修正
対象プログラム:
・ Zen Cart Pro 及び ZenCartPro-R 各バージョン
Pro-R用修正ファイル:https://ssl.bigmouse.biz/pro/product/category-58/products-126/
■ 2009-11-30 XSS対応パッチ
zen-cart.com で報告されたXSSへの脆弱性対応のための修正パッチです。
対象プログラム:
・ Zen Cart Pro 及び ZenCartPro-R 各バージョン
修正ファイル:https://ssl.bigmouse.biz/pro/product/category-58/products-124/
■ 2009-07-24 htmlarea の不具合に関する修正
ZenCartPro (zencart各バージョン)に採用されている、HTMLエディタ 「 htmlarea 」の修正されていない不具合に対して独自の対応をいたしました。
現象:
管理画面より htmlarea を有効にした状態で編集画面を開いた場合、相対パスで指定された参照先に対して自動的に管理画面までのURLを追加し、そのまま保存すると変更された内容でデータが上書きされる。
この現象は InternetExplore(及びIE系ブラウザ)を利用した場合にのみ発生し、FireFox などでは発生しません。
対応内容:
htmlarea を使って編集画面を開いた場合に、もし管理画面までのURLが含まれる
リンクが存在していた場合、その部分を削除する
※ この対応により「あえて管理画面内のファイルに対してリンクを記述している場合も削除対象」となりますが、Zencart での運用において、管理画面へのURLを記述する事はないものと想定でき、なおかつセキュリティ上「記述させない」方が良いと判断してこうした対応に決定いたしました。
修正ファイル: 「htmlarea 修正ファイル」 (htmlarea_20090724)
■ 2009-06-30 アタックによるリソース消費を軽減するための修正
既知のセキュリティホールに関しては、全て対応を行っていますが、それでもハッカーたちはしつこくアタックを続けてきます。こうした不正なアクセスによるサーバーリソースの消費を出来るだけ抑える様にしたいものです。
以下の修正は、2009年6月22日 zen-cart.com で提案された内容です。
http://tutorials.zen-cart.com/index.php?article=320
Zen Cart Pro シリーズでは、次回のバージョンアップの際に対応予定ですが、ご自身で修正していただく事も可能です。
詳細はヘルプサイトに記載しておりますのでご参照ください。
http://www.zencart-pro.com/help/node/151#whoisonline
■ 2009-06-24 管理画面の脆弱性対応セキュリティパッチ
2009-06-21 に zen-cart.com でアナウンスされた管理画面に関する脆弱性対応のためのセキュリティパッチです。
このセキュリティパッチファイルは、2009年6月21日 zen-cart.com によりリリースされたセキュリティパッチに、Zen Cart Pro シリーズ用の修正を加えたものです。
今回のパッチファイルで上書き対象となっているファイル html_output.php には、別途最新バージョンにおいて行ったバグフィックス対象ファイルであったため、バグフィックス分を含めてのリリースとさせていただきます。
修正内容: 管理画面において、キーワード検索時に文字化けを発生させるケースがあったため正しく文字コードを取得するよう修正。
対象プログラム:
・ Zen Cart Pro 及び ZenCartPro-R 各バージョン
修正ファイル:https://ssl.bigmouse.biz/pro/category-58/
また、ご自身で修正される場合のためにヘルプサイト内に修正内容を解説しておりますので、そちらもご参照ください。
ヘルプサイト: http://zencart-pro.com/help/node/179
■ 2009-06-22 セキュリティパッチに関して
2009-06-21 に zen-cart.com でアナウンスされている管理画面に関する脆弱性の問題に対してセキュリティパッチがリリースされております。
※ 現在セキュリティパッチの内容を検証中であり、必要であると判断した段階で ZenCartPro 用に専用パッチを準備いたします。
基本的には管理画面のURLが知られていない限り、問題になりにくい部分ですので、まずはヘルプサイトに記載している内容を参考に、管理画面のURLを想定しにくいアドレスにするようお勧めいたします。
以下概要・・・
Zencart1.3.8 及びそれ以前のバージョンに対して、管理画面における脆弱性の
問題が発見されました。
この脆弱性を利用するには、攻撃者は管理画面のURLを知っている必要があります。
セキュリティに関するお勧めの中で指摘しているように、利用中のZencartの
admin エリアのフォルダ名を変更するようにすべきです。
しかしながら、"Security through obscurity"(隠すことによる安全)に頼るだけ
では、不十分であるため、対応パッチをリリースいたします。。
修正ファイル: zen-cart.com(本家オフィシャルサイト)の記事を参照
ヘルプサイト内にセキュリティアップに関する対応方法を解説しておりますので、そちらをご参照ください。
ヘルプサイト: http://zencart-pro.com/help/node/151
「2. /admin フォルダ の名前を変更します。」の項目を参照
■ 2008-09-20 セキュリティパッチに修正
2008-09-19 に掲載したSQLインジェクションの問題への対応方法に問題があり、修正されたセキュリティパッチがリリースされております。
2度にわたり公表されたSQLインジェクションへの対応方法ですが、その両方に問題がある事が判り、9月19日分の修正と、8月31日分の修正に対して追加修正作業が必要になります。
もし、8月31日分の修正を行っていない場合には、「今回のパッチの適用」によって9月19日のセキュリティパッチを上書きする(もしくは新規追加)だけで問題ありません。
修正ファイル: zen-cart.com(本家オフィシャルサイト)の記事を参照
ヘルプサイト内に適用方法を解説しておりますので、そちらをご参照ください。
ヘルプサイト: http://zencart-pro.com/help/node/179
■ 2008-09-20 セキュリティアップデート
2008-08-31 で報告のあった脆弱性に対する対応が十分では無かったため追加されたセキュリティパッチが適用されました。
Zencart1.2.0以降のすべてのバージョンに影響がある物であり、Zen Cart Pro にも同様の危険性があります。
前回の修正を行っておられる方も、そうでない方も修正ファイルを適用なさってください。
※前回の修正分はそのままにしておいても問題ありません。
※前回の修正を適用されていない場合も、今回のセキュリティパッチの適用だけで問題ありません。
修正ファイル: zen-cart.com(本家オフィシャルサイト)よりダウンロード
ヘルプサイト内に適用方法を解説しておりますので、そちらをご参照ください。
ヘルプサイト: http://zencart-pro.com/help/node/179■ 2008-09-01 セキュリティアップデート
2008-08-31 http://www.zen-cart.com/forum/showthread.php?p=604473 で報告のあったセキュリティ上の問題に対する対応をいたしました。
Zencart本家開発コミュニティで報告されたSQLインジェクションの脆弱性に関する問題は、Zencart1.2.0以降のすべてのバージョンに影響がある物であり、Zen Cart Pro においても同様の脆弱性が認められたため修正ファイルを作成し、すべての登録ユーザー様にメールにてお送りさせていただきました。
もし、まだ修正ファイルの適用がお済みではないユーザー様はすぐに対応いただくか、弊社までご相談ください。
修正ファイル:https://ssl.bigmouse.biz/pro/category-58/
なお、修正ファイルは以下のページよりログイン後取得可能です。
また、ご自身で修正される場合のためにヘルプサイト内に修正内容を解説しておりますので、そちらをご参照ください。