概要
EC-Orangeには2015年6月28日時点で利用者の登録情報が漏洩する脆弱性JVN#15637138がありました。
この脆弱性は修正済みであることが2024年5月29日にIPAより公開されました。対策方法についてはエスキュービズム社へお問い合わせください。
Update
2017/1/19 IPAから連絡があったので時系列に追記しました。パッケージ名の公開について追記しました。
2024/5/29 IPAから脆弱性情報が公表されため本記事でも会社名・製品名を公表しました。
詳細
2015年6月にエスキュービズム社の提供するEC-OrangeにEC-CUBEオリジナル版で公開・対策済みの既知の脆弱性と推測される挙動を確認したため、IPA(独立行政法人 情報処理推進機構)の「情報セキュリティ早期警戒パートナーシップ」を利用しエスキュービズム社へ報告しました。
この脆弱性は悪用された場合に個人情報の漏洩を伴い、かつ攻撃方法が既知・容易と悪条件が整っており、悪用された場合に非常に大きな影響が生じることが懸念されたためIPAから「非開示依頼の取り下げ」承認を2016年8月17日に頂き本記事を公表しました。
想定される被害
ショッピングサイト利用者によって、他の利用者の登録情報を取得される可能性があります。本件の根本的な原因は長期間に渡るパッチの適用漏れであると推測され、その他にも既知の脆弱性が残存しているおそれがあります。
対策
エスキュービズム社へお問い合わせください。
時系列
- 2015/6/28 脆弱性確認
- 2015/7/6 IPAへ脆弱性情報届出
- 2015/7/7 IPAより受理連絡
- 2015/7/29 JPCERT/CCが製品開発者への連絡を開始
- --- 約1年経過 ---
- 2016/7/27 情報非開示取り下げ依頼(間違って2日早く依頼)
- 2016/8/17 製品開発者より回答がなかったため、情報非開示取り下げ決定
- 2016/8/18- 情報公開について関係者へ予告・調整及び情報収集
- 2016/8/22 第三者より「8/25を目処に対応完了目処を決定」等の情報を入手(誤報?)
- 2016/8/24 22日の情報についてIPA・JPCERT経由での連絡が来ないので、事実関係を問い合わせ
- 2016/8/25 IPA・JPCERTより回答「連絡はあったが具体的な日程については不知」
- 2016/9/1 22日の情報にあった対応完了目処の予定日を過ぎても連絡が来ないのでIPA・JPCERT経由で「対応完了予定日・公開予定日について9/8 9:00までに回答が無ければ公開する」旨を改めて連絡
- 2016/9/8 IPA・JPCERTより連絡、「9/1以降、3回連絡したが回答がない」
- 2016/9/9 本ページ公開
- 2017/1/19 IPA・JPCERTより連絡「昨年9月以降連絡が取れていない」
- 2024/5/29 JVNで情報公開・本ページ更新
謝辞
粘り強く調整に尽力いただいたIPA・JPCERT/CCの皆様と、本ページの公開にあたりレビューにご協力頂いた皆様、本来無関係にも関わらず対応状況の確認にご協力頂いたEC-CUBE関連製品をお取り扱いの各社様、修正にご対応頂いたエスキュービズム社様に御礼申し上げます。
0 件のコメント:
コメントを投稿