概要
2023年11月6日にリリースされたEC-CUBE 4.2.3の新機能について紹介します。
今回のアップデートはマイナーバージョンアップですが、セキュリティ観点で見たときに便利なものがいくつかあるので、ピックアップしてご紹介していこうと思います。
1. 脆弱性対応内容
今回の4.2.3では、脆弱性の対応が含まれています。
EC-CUBEで採用されているテンプレートエンジンであるTwigの使用時に、Twig関数などの機能を不用意に利用させないためのSnadbox機能です。
詳細は公式のドキュメントに記載されているので割愛しますが、いわゆる「許可リスト方式」で使用できるTag・Filter・Functionを任意のものに制限することが出来ます。
Twig Sandboxによる許可リスト制御
https://doc4.ec-cube.net/customize_twig_sandbox
本番モードで動いているときは、許可されてないワードがSandbox内に検出された場合、そのSandbox内の表示が消えます。
開発モードで動いている場合は、検出された場合エラー画面が表示されます。
※本番モードでも、管理画面のログ管理から発生したエラー情報を参照することが可能です
この機能を活用することで、よりWebサイトをセキュアに保つことが出来ます。
2.スロットリング機能の追加
今回のアップデートでは、元々4.2.1のときに新規で追加になった「スロットリング機能」の適用範囲がより広範囲に拡張されました。
管理画面の2段階認証時、ユーザーの新規登録時のそれぞれに、スロットリングが適用となりました。
アクセスしてきたユーザーが何度も何度も同じ操作を繰り返した場合に、一定時間そのURLへのアクセスを拒否するような挙動になります。
ブルートフォースのような攻撃対策として非常に有効です。
3.【バグ改修】在庫数がダブってしまう不具合を解消
1つの商品規格に対して2つの在庫情報が登録されてしまい在庫がずれてしまう
https://github.com/EC-CUBE/ec-cube/issues/6028
発生頻度としては非常に低いものとなりますが、dtb_product_stock に同じ商品規格IDに対するレコードが2件できてしまうという不具合が存在していました。
こちらの対処を行い、バグを解消しました。
最後に
冒頭でも述べましたが、今回のアップデートはマイナーバージョンアップなので大きな機能改修はありません。ただ、EC-CUBEを使ってサイトを構築して頂いている方には有用な変更内容が含まれていますので、ぜひアップデートしていただければ幸いです。特に脆弱性に関しては今すぐ影響が出るようなものではないですが、余裕を持って対処いただくことをおすすめいたします。
また、上記の内容をYoutubeの公式チャンネルでもご紹介しています。
ご参考までにご覧いただければ幸いです。
https://www.youtube.com/watch?v=GITjBbDcU5U