セキュリティアドバイザリー

概要

Fastly はお客様レポートの調査中に、Magento2 に統合するための Fastly の CDN モジュールにおけるセキュリティ脆弱性 (CVE-2017-13761) を発見し、対処しました。これはパートナーのプロダクトとの統合を容易にするために Fastly がリリースしているオープンソースのコードです。1.2.26より前のすべてのバージョンへ影響が及ぶため、アップグレードを行うことを推奨します。

影響を受けるバージョンのモジュールをご使用中のお客様には、Fastly から直接ご連絡済みです。

影響

1.2.26より前のすべてのバージョンのモジュールに存在するこの脆弱性により、リダイレクトレスポンスが数秒間キャッシュされます。POST リクエストの代わりにリダイレクトに依存する、OAuth などのサードパーティ認証プラグインを使用している場合に、特定のケースでセッションリークが発生する可能性があります。
その結果、この脆弱性により、認証済みセッションからの情報が別の認証済みユーザーに漏洩する可能性があります。

解決方法/回避策

この脆弱性は、バージョン1.2.26の Fastly CDN モジュールで解決されました。それより古いバージョンのモジュールをダウンロードしてデプロイしているお客様は、1.2.26以降のバージョンへのアップグレードを推奨します。利用可能な最新の推奨バージョンは1.2.28です。

次のコマンドを実行すると、お客様のサイトが影響を受けるかどうかを確認できます。

$ curl -H “Fastly-Debug:1” -v -o /dev/null https://www.example.com/| grep Fastly-Magento-VCL

< Fastly-Magento-VCL-Uploaded: 1.2.20

詳細情報

この脆弱性には、CVE ID CVE-2017-13761が割り当てられています。

この問題は fastly-magento2 code repositoryで解決されました。最新バージョンはhttps://github.com/fastly/fastly-magento2/releasesで入手できます。