月別アーカイブ: 2009年7月

【重要】6/22にZen Cart.comから出された脆弱性のパッチ適用について

by 志田 (Posted 2009年7月15日(水) 8:02 am)
本家から出ているセキュリティパッチ内のREADMEファイルに書いてある内容を中野さんが、翻訳してくれました。

パッチファイルは下記からダウンロードできます。
(日本語版として検証済みのパッチができて、本家と仮に内容が変わることがありましたら、紛らわしいので、このファイルは日本語版用途に書き換えておきます。)

http://www.zen-cart.com/forum/attachmen … 1245902513

// ————————————————

h1. 説明

私たち(zen-cart.comコアメンバー)は、これまでZen Cartのセキュリティ強化策として、

“/admin”フォルダーをリネームすること

の重要性を強調し、Zen Cartの管理画面でも警告を出すようにしてきました。
(/adminフォルダーのリネームに関しては↑の佐々木さんの引用を見てください。)

そして最近、私たちはZen Cartの管理画面への不正アクセスを許す可能性のあるいくつかの脆弱性について報告を受けました。これらの脆弱性を使って不正アクセスを行うためには、攻撃者はZen Cartの管理画面の場所を知る必要があります。

“/admin”フォルダーのリネームは脆弱性対策として一定の効果がありますが、私たちはこの「隠ぺいによるセキュリティ向上」(“Security through obscurity”)は不十分であると判断し、そのため、脆弱性にソフトウェアレベルで対処するパッチをリリースします。

なおECソフトウェアのうち、Zen Cartだけが管理画面の「隠ぺいによるセキュリティ向上」(“Security through obscurity”)に頼っているわけではありません。

h2. Zen Cart 1.3.xへのセキュリティパッチのインストール方法

1. セキュリティパッチに含まれるファイル一覧

1. /includes/functions/extra_functions/security_patch_v138_20090619.php – NEW FILE
2. /includes/extra_configures/security_patch_v138_20090619.php – NEW FILE
3. /includes/autoloaders/config.security_patch_v138_20090619.php – NEW FILE
4. /includes/init_includes/init_security_patch_v138_20090619.php – NEW FILE
5. /includes/functions/html_output.php – ALTERED FILE

上記のファイルリストのうち”NEW FILE”と記されているファイルを、管理画面ディレクトリーの該当ディレクトリーにアップロードします。

注意:今回のセキュリティパッチに含まれているファイルのうち、上記で説明した以外のファイル、例えばHTMLファイルなどはアップロードする必要はありません。

※訳注
は、デフォルトでは「admin」です。
リネームしている場合はその名前に置き換えてください。

“html_output.php”ファイルは、該当ディレクトリーにすでに存在するはずです。
もしあなたが過去にこのファイルを修正していないのなら、元あったファイルを今回のパッチに付属している”html_output.php”で上書きしてください。何らかの修正しているのであれば、元のファイルを手作業で書き換える必要があります。とはいえ変更すべき箇所はわずかで、以下の通りです。

注意:”html_ouptut.php”というファイルは”/includes/functions/”ディレクトリーにもありますが、これは別物で、あくまで管理画面ディレクトリーにあるファイルが対象です。

2. html_ouptut.phpファイルの修正方法

/includes/functions/html_output.php

ファイル修正は簡単です。しかし、修正をする前に、あなたが修正済みのhtml_output.phpのバックアップを取っておくことを忘れないでください。

エディターでファイルを開き、”zen_draw_form”ファンクションを探します。
ファンクションの最後の行は以下のようになっています。

return $form;

この行の直前に、以下の行を加えます。

$form .= ‘‘;

そしてファイルを保存します。

3. 変更をテストする

すべての作業が終わったら、テストします。管理画面にアクセスすることができ、何か表示がおかしなところがないかチェックしてください。

もし、問題があれば、html_ouput.phpファイルを、先ほどバックアップしておいた元のhtml_ouput.phpファイルで再び上書きし、セキュリティパッチからアップロードした4つのファイルを削除します。

このセキュリティパッチを使ううえでの質問や問題などがあれば、Zen Cartフォーラム(日本語版ではZen Cartコミュニティ掲示板)までお願いします。

h2. Zen Cartの旧バージョンについて

このセキュリティパッチは、Zen Cartの最新版である1.3.8のために作成し、テスト済みですが、それ以前の1.3.xでも動くでしょう。ただし、古いバージョンで完全に正しく動くとは保証できません(※Zen Cart日本語版としての検証は本日中に行います)。

1.2.x系を使っている人には、できるだけ早くアップグレードすることを推奨します。
しかし、今回のセキュリティパッチに含まれる以下のファイルは、

/includes/function/extra_functions/security_patch_v138_20090619.php

1.2.x系にも互換性があるので、1.2.x系の利用者は少なくともこのファイルをアップロードすべきです。

また、今回のパッチ以前にリリースされたパッチを適用済みであることを確認してください。
過去のパッチの詳細はZen Cartフォーラム(日本語版では「ダウンロードページ」)をご覧ください。

// ————————————————

もし、翻訳に間違いを発見した方がいらっしゃったら、ご指摘ください。

よろしくお願いします。



問い合わせメールで控えメールが出来るもの!?

by piyo (Posted 2009年7月15日(水) 12:02 pm)
こんにちは、zen cart1.3.8aをカスタマイズ中で、
送信前に確認画面が表示されるようにする方法を探していて、こちらを拝見しました。

kino さんが書きました:
例えば「確認画面」には 

を仕込んでおくことにして
「送信」の最初で
POST['confirm']を調べて存在している場合は「送信」
していない場合は「確認画面」を表示する。
ということで実現できるはずです。

すみません、拝見した方法がよくわからないので、お伺いしたいのですが、
header_php.php と
tpl_contact_us_default.php 
両方を修正ですよね?

tpl_contact_us_default.phpで確認画面表示して、
を入れて、

header_php.phpではPOST['confirm']を調べて存在している場合は「送信」
していない場合は「確認画面」とする場合、

tpl_contact_us_default.phpでは何の判断で、「確認画面」と「入力画面」に
振り分ければよいのでしょうか。

言葉が足りなかったらすみません。

よろしくお願いいたします。



Internet Explorer 8

by maron (Posted 2009年7月06日(月) 5:45 pm)
理由は不明ですが、
スタイルシートで指定している
フォントサイズを相対指定(em)から絶対指定(px)に
変更することで、現象は解消されました。

なお、バージョンは1.38aです。
IE8とUTF-8の相性の問題かもしれません。
本来なら「公式版以外の話題」に投稿すべきでした。
申し訳ありません。

なお、この現象はIE8の互換表示モードを使用すると
フォントサイズが相対指定のままでも
現象は発生しません。

以上ご参考まで。



MySQLのリモート接続先の変更方法について

by vintagesound (Posted 2009年7月04日(土) 10:18 am)
mmochi様

迅速にお答えいただきありがとうございます。
大変参考になりました。質問1は即時に対応させていただきます。質問2は、やはりZen-Cartの範疇を越えてしまっているようですが、念願の冗長構成のシステムを構築できそうです。



Zen Cart.JPのあり方など

by mondo (Posted 2009年7月08日(水) 3:42 pm)
はじめまして、mondoと申します。

日頃、WEB制作者の端くれとしてZEN-CARTを利用することがあり
掲示板で皆様の事例を参考にさせていただき
コアメンバーの方々はじめ、有志で書き込みをされる
皆様に感謝しております。

久しぶりに、覗かせていただくと
混沌とした議論が交わされており残念に感じ、恐縮ですが
書き込みをさせていただきました。

最近、ネット上でOSSと一企業が提供するパッケージソフトに関する
議論が盛んですが、個人的にはWordPressとMovableTypeで見られるように
市場原理が働き、“ユーザー”は利用し易いものへと流れるのが必然と思います。ターゲットをエンドユーザー向けにするか
WEB制作者向けにするかで全ての体制が違ってくるかとは思いますが。

WEB屋である、私が申し上げるのもおかしいのですが
極論するとWEB制作自体は、よりユーザーが利用し易いものとなり
そのために”時間を割ける”ユーザーは、ご自身で制作する環境が
整っていくのだと思います。
つまり、より専門的にインフォメーションアーキテクトやデザイン、SEO、
セキュリティなどを求めたり、”時間をお金で買いたい方”は、WEB制作者
に報酬は払うでしょうが、そうでないユーザーはご自身で制作していく
ことも考えられるのは必然と思います。

ZEN-CARTはOSSですが、まだまだ、一般の方が利用するには敷居が高いのかなと思います。逆にそういうことで、WEB制作者に周辺の仕事がある訳ですが
それでは、前述のWordPressとMovableTypeの例のように普及していかないと思います。

コアメンバーとして尽力されている皆様におきましては
掲示板での一般の皆様の書き込みをフォローすることなく
掲示板での意見を集約してのローカライズやバグレポートに
注力されるのが良いのではないかと思います。
例えば、アンケートを実施した結果を元に、携帯モジュールのように
必須とおもわれるような機能については普及させるためにも
JP版に盛り込み、ニッチなものについては必要とされる方が
自身の努力で専門業者殿に問い合わせするとか、同様の機能を
求める方を集めて見積もりを取るとか出来る“環境”を用意すれば良いのではないかと思います。
より専門的にカスタマイズやモジュールを必要とする方の
ためにZEN-CARTを手がけるWEB制作者様やセキュリティ面の
トラブルなども含めた周辺技術関連業者様を含め、ZEN-CARTでの
サイト運用をサポート出来る業者様の紹介ページを作れるように
されてはどうかと思います。
勿論、そこでは一番汗をかいたコアなメンバーの方々は不公平なく
大フィーチャーされるべきだと思いますし。

一個人の考える、小さな意見でございました。
私自身も、先陣の皆様のように
微力ながら、出来る事があればお返ししていきたいと思います。



Zen Cart携帯モジュール サポートスレ

by sumida (Posted 2009年7月11日(土) 11:20 am)
お世話になります。いろいろ試しているのですが、logout_confirmでハマってしまいました。
ハマっているところは、tell_a_friend(友達に知らせる)以降の画面遷移です。

まず、PCの場合
商品表示(友達に教える) –login経由–> tell_a_friend(送信) –> 商品表示(送信完了メッセージ付き)

となります。
そして、携帯の場合
商品表示(友達に教える) –login経由–> tell_a_friend(送信) –logout_comfirm(送信完了メッセージ付き) 経由–> 商品表示

になると思います。が、
商品表示(友達に教える) –login経由–> tell_a_friend(送信) –logout_comfirm(送信完了メッセージ付き) 経由–> logout_confirm –> 商品表示

と、もう一度logout_confirmを経由していると思う(いじりすぎて、言い切れない。)のです。
以下のコードを

Code:
zen_session_destroy();
unset($_SESSION['customer_id']);
zen_session_recreate();

このコードの前に付加すれば良いとおもうのですが。

Code:
$_SESSION['last_secure_page'] = $unsecure;
$_SESSION['navigation']->reset();
echo TEXT_EMAIL_SUCCESSFUL_SENT_MOBILE.”
“;
echo ““.TEXT_BACK.”“;

また、tell_a_friend画面を表示し、「送る」ボタン以外で画面を遷移しても、
送信済みのメッセージを表示するので、上記のコードの前に、条件分岐(action=processのとき)が必要と思いますがどうでしょうか?



ZenCart 1.3.8a(日本語) 配布再開

by 中野@アークウェブ (Posted 2009年7月13日(月) 8:15 am)
>ビッグマウス 杉本さん

遅くなりましたが、1.3.8a(ビッグマウス版)の配布再開、ありがとうございました!
Zen Cartユーザーで気になっていた人も多いはずですし、Zen-Cart.JPの今後の
発展にもプラス材料になるだろうと思います。 :)



ZenCart系の業者メールに困惑

by 佐々木2号 (Posted 2009年7月14日(火) 9:34 pm)
佐々木2号です。

こちらの脆弱性について現在被害が確認されている種の攻撃を防ぐ為の至急の対応策とZenCart.JPとしてセキュリティーアップデートのリリースに関するアナウンスを追加いたしましたのでご確認ください。
viewtopic.php?f=1&t=4586



[ハッキング]やられてしまいました・・orz

by 佐々木2号 (Posted 2009年7月14日(火) 9:33 pm)
佐々木2号です。

こちらの被害は下記でアナウンスした脆弱性をついた攻撃によるものと思われます。
viewtopic.php?f=1&t=4586

攻撃を防ぐ為の至急の対応策とZenCart.JPとしてセキュリティーアップデートのリリースに関するアナウンスを追加いたしましたのでご確認ください。