EC-CUBE3系と4系はSymfonyの脆弱性も考慮する必要がある

2020年1月22日、EC-CUBE3系と4系の脆弱性が報告された
PHPのフレームワークとは
フレームワークを利用することで問題も発生する
1. フレームワークのサポート切れがある
2. フレームワークに脆弱性がある
サンクユーのEC-CUBE脆弱性診断サービス

2020年1月22日、EC-CUBE3系と4系の脆弱性が報告された

2020年1月22日、株式会社イーシーキューブよりEC-CUBE3.0系、4.0系の脆弱性が報告されました。
EC-CUBE3.0系におけるsymfony/http-foundationの脆弱性
 EC-CUBE4.0系におけるsymfony/http-foundationの脆弱性

この脆弱性による被害はいまのところないそうです。

今回の脆弱性なのですが、EC-CUBE自体に脆弱性があるというものではありません。
3系と4系はSymfonyというPHPのフレームワークを使っているのですが、そのSymfonyに脆弱性が見つかったというものです。

EC-BUE3系・4系がSymfonyを使っているので、EC-CUBEに脆弱性があると言えばあるのですが、Symfonyを使っていなかったら今回の脆弱性はEC-CUBEには存在していません。
ややこしいですけど理解できますかね？笑

PHPのフレームワークとは

PHPのフレームワークとは、あらかじめいろんな機能が備わった土台みたいなものです。
フレームワーク（framework）とは英語で枠組みを指します。
枠組みを利用することで元々フレームワークに備わっている機能が使えるのでプログラミング効率がアップしますし、フレームワークの規則に準拠してプログラムを書くので比較的整ったソースになります。
フレームワークを使用することで、効率性とメンテナンス性がアップする訳です。

フレームワークを利用することで問題も発生する

上記のようにフレームワークにはメリットがあります。
だからこそEC-CUBE3系、4系はSymfonyを採用したんだと思います。

ただ、フレームワークを利用することで問題もあります。

フレームワークのサポート切れがある

フレームワークは常に進化しておりバージョンアップしています。
新しいバージョンのフレームワークを使って貰いたいし、複数のバージョンのメンテナンスをすることも困難なので、古いバージョンはどんどんサポート切れになっていきます。

EC-CUBEが利用しているバージョンのサポートが切れた時、Symfonyのバージョンをアップしなければいけません。
完全な互換性があれば作業はスムーズに進むでしょうが、互換性が完全出ない場合はEC-CUBE本体の改修が必要になります。

フレームワークに脆弱性がある

フレームワークもシステムですので、脆弱性はあります。
今回がこのパターンですね。
EC-CUBE本体に問題がなくても、使用しているフレームワークに脆弱性があると、たちまちEC-CUBEに脆弱性があるということになります。

ちなみに、2系はフレームワークを利用していませんでしたので、こういうことはありませんでした。

フレームワークを使おうが使わないがシステムである以上脆弱性はあります。
その脆弱性とどう付き合っていくか（対処するか）が大事です。
脆弱性の報告は逃さないようにしておき、適切に対処するよう心掛けてください。

サンクユーのEC-CUBE脆弱性診断サービス

サンクユーではEC-CUBEの脆弱性診断サービスを提供しております。
定期的に脆弱性診断を受け、都度脆弱性に対応することで安全なECサイト運営を行うことができます。
低価格でご提供しておりますので、是非ご検討くださいませ。
EC-CUBE脆弱性診断サービス

投稿者プロフィール

OSAMU HORIKAWACEO: 株式会社サンクユー代表取締役CEO。
基幹システムとECをつなぎ、受発注業務の最適化を支援する専門家。

関西大学卒業後、東証プライム上場のゼネコンにて人事総務を経験。
その後システムベンダーへ転職し、IBM AS/400環境における金融・物流・販売管理・経理・人事など、企業の基幹業務を支えるシステム開発に従事する。
プログラマからプロジェクトマネージャーまでを経験し、台湾・台北駐在として銀行システム構築プロジェクトにも参画。

この経験を通じて、「システムの質は要件定義の質に比例する」という思想を確立。
業務理解を起点としたシステム設計を強みとする。

その後、クレジット決済代行会社にて、決済システムの再構築や銀行連携、ECサイト構築を担当。
あわせて組織改革にも携わり、20名から60名規模への組織拡大を実現（退任時：常務取締役）。

2008年に株式会社サンクユーを創業、2010年に法人化。
現在は、基幹システムとECの両領域に精通した知見を活かし、BtoB企業における受発注業務のデジタル化・効率化を支援。
特に、FAX・電話・メールなどアナログ業務のEC化や、基幹システムとの連携を前提とした業務設計を得意とする。

単なるECサイト構築にとどまらず、業務フローの整理・要件定義・システム設計まで一貫して関与し、「現場で使われる仕組み」を実現することを重視している。

NTTレゾナント「goo Search Solution」にてEC関連コラムを執筆。
ECマーケティングレポート | goo Search Solution

■趣味・関心領域
BMW / WRC / ロードバイク / RIZIN / UFC / 大相撲
David Bowie / blur / MUSE / The Rolling Stones / XTC
機動戦士ガンダム（富野由悠季）
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン