EC-CUBE 3.0系のセッション固定に関する修正について
更新履歴 
2018/4/16 10:30 告知ページの公開。
本件の概要 修正方法
EC-CUBE セッション固定に関する修正のお知らせ 
いつもEC-CUBEをご利用いただきまして、誠にありがとうございます。

EC-CUBE 3.0.0~3.0.151件 の脆弱性があることが判明いたしました。
(本脆弱性における被害報告は現時点でございません)

脆弱性そのものは、EC-CUBEのバージョンアップ、または修正ファイルの反映により
すぐに解決するものです。

皆様にはお手数おかけしまして誠に申し訳ございません。
本件は緊急度「低」となりますが、できるだけ速やかにご対応をお願いします。

脆弱性の概要 
1.フロント画面 会員登録完了メールのセッション固定に関する脆弱性

緊急度: 低
不具合が存在するEC-CUBEのバージョン: 3.0.0~3.0.15

本件は、何らかの方法で事前にセッション情報を取得できた場合にのみ*1 攻撃が可能となります。
*1:他の脆弱性と組み合わせた場合のみ

本脆弱性単体では大きな影響を及ぼすことがないことから、緊急度は「低」と判断しております。

※EC-CUBE 3.0.3以前をご利用の方へ

EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

※開発環境がある場合は、まず開発環境でお試しください。
皆様の環境に合わせて、以下修正方法よりいずれかを選択ください。
修正方法1:EC-CUBEのバージョンアップを行う場合 
EC-CUBE 3.0.16以降の最新版にバージョンアップしていただくことで、本件の脆弱性は修正されます。
以下を参考に、EC-CUBEのバージョンアップをお願い致します。
    http://doc.ec-cube.net/quickstart_update
修正方法2:修正用の差分ファイルを利用する場合 
以下の手順に従って、修正ファイルの反映をお願いいたします。
  1. 修正ファイルのダウンロード
    ご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。

    [バージョンの確認方法]
    EC-CUBE管理画面へログイン後、設定>システム設定>システム情報 にて確認できます。
    カスタマイズによってシステム情報が表示されない場合は、以下のファイルをご確認ください。

    - src/Eccube/Common/Constant.php(31行目付近)
    <例>-------------------------------------
    /**
    * EC-CUBE VERSION.
    */
    const VERSION = '3.0.14';
    -----------------------------------------
    上記の例の場合、EC-CUBEのバージョンは3.0.14となります。

    [修正ファイル]
    EC-CUBE 3.0.4用 (md5:c4f14258f253ab24e629e87815a42c65)
    EC-CUBE 3.0.5用 (md5:013b328561d16a143a1374750a0219e2)
    EC-CUBE 3.0.6用 (md5:87297df2dedd8ba899f5d68ae8277af5)
    EC-CUBE 3.0.7用 (md5:68d512fe19885171f8807e578e08276c)
    EC-CUBE 3.0.8用 (md5:c1ea04107a881f9bd6f72c919d47169a)
    EC-CUBE 3.0.9用 (md5:2dd1a845c6a7a9be167db79907311379)
    EC-CUBE 3.0.10用 (md5:8927ed6534c3619da58a37a190323bc4)
    EC-CUBE 3.0.11用 (md5:df313005a67bf04c3dcd8d065830e786)
    EC-CUBE 3.0.12用 (md5:e23a0b1893abdca4d89cedf2460068e0)
    EC-CUBE 3.0.13用 (md5:ae8aa5d28b0b2d168c5cb38cb57c2a29)
    EC-CUBE 3.0.14用 (md5:c4ee94755e5fb49997b658d64495f07e)
    EC-CUBE 3.0.15用 (md5:498f9773f926a815933fe3f92f151600)

    ※EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
    ※EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

  2. EC-CUBEファイルのバックアップ
    EC-CUBEファイル全体のバックアップを行ってください。

  3. 修正ファイルの反映
    ダウンロードしたファイルを解凍し、EC-CUBEファイルに上書きをしてください。

    ※修正ファイルはディレクトリ構造になっているため、ルートディレクトリからそのまま上書きが可能です。
    ※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。

  4. Twigキャッシュの削除
    キャッシュを削除しないと、変更が反映されない場合がございます。
    リンク先の手順を参照して削除してください。
    Twigキャッシュの削除方法

  5. 動作確認
    フロント画面より、下記の動作が正常に完了するかご確認ください。
    可能であれば、「追加確認」と記載された内容についてもご確認お願いします。
    ※一連の動作確認作業に関しまして、同一PCでの確認をお願い致します。

    ・EC-CUBEのサイトで会員登録を行う(A)
     → メール認証のメールが送信される
     追加確認:この時のセッション情報を控えておいてください。
    ・メール本文中のURLをクリックする(B)
     →会員登録が完了しログイン状態となる
     追加確認:セッション情報を確認し、(A)と異なるセッションIDであることを確認

修正方法3:修正差分を確認して適宜反映する場合 
EC-CUBE本体のソースコードをカスタマイズされている方向けです。
下記のコード差分情報を参照して頂き、必要な箇所に修正を反映してください。

    コード差分情報のダウンロードはこちら

Twigキャッシュの削除方法 
EC-CUBE 3.0.1~3.0.7をご利用の場合

コンソールコマンドにてキャッシュの削除が可能です。
EC-CUBEのディレクトリで下記のコマンドを実行してください。
# php app/console cache:clear

EC-CUBE 3.0.8~をご利用の場合

管理画面よりキャッシュの削除が可能です。
管理画面 > コンテンツ管理 > キャッシュ管理 より[キャッシュクリア]を実行してください。

FAQ 
Q. 私のサイトは大丈夫ですか?

A.
まずは対象バージョンをお確かめください。
脆弱性対象バージョンのEC-CUBEをお使いの場合、対象ファイルを確認ください。
修正がされていない場合、修正方法に沿って修正の対応をお願いいたします。

オフィシャルホスティングパートナーをご利用の場合」
インテグレートパートナーが構築している場合」
既に対策されている場合がございます。各パートナー担当者様へお問い合わせ下さい。

この度は、お手数おかけいたしますことを深くお詫び申し上げます。
謝辞 
本情報は、お問い合わせいただきました開発者様よりご提供いただきました。
この場をお借りして、厚く御礼申し上げます。
問い合わせ先 
EC-CUBE 運営チーム 永橋、遠藤
問い合わせ先:https://www.ec-cube.net/contact/