-オープンソースのSNSエンジン OpenPNEプロジェクト-

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下に存在するセッション管理に関する複数の脆弱性の修正のお知らせ(OPSA-2015-002)

10 / 08 木曜日 2015

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、セッション管理に関する複数の脆弱性が存在します。

本日(2015/10/08)、この問題の対策版として OpenPNE 3.6.20.1、3.8.17.1 および opAuthMailAddressPlugin 1.3.5.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

また、opAuthMailAddressPlugin 以外の独自カスタマイズの認証プラグインをご利用の場合も同様の処理を行っている場合がありますので、パッチをダウンロードの上内容をご確認ください。

概要

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、下記のセッション管理に関する複数の脆弱性が存在していました。

  1. 1. 新規登録URLを利用したなりすましログインが可能な問題
  2. 2. セッション破棄の不備

本問題について

影響を受けるシステム

1. 新規登録URLを利用したなりすましログインが可能な問題
OpenPNE 3.6.20、3.8.17 以下を利用しており、認証プラグイン opAuthMailAddressPlugin を有効にしているサイト
セッション破棄の不備
OpenPNE 3.6.20、3.8.17 以下を利用しており、symfony のバージョンが 1.4.17 以下を利用しているサイト

想定される影響

1. 新規登録URLを利用したなりすましログインが可能な問題
登録済みメンバーに紐付く新規登録URLを第三者に取得された場合、通常の認証を経由せずになりすましログインがおこなわれる可能性がある。
なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更をなりすましたメンバーの権限でおこなわれてしまう可能性がある。
2. セッション破棄の不備
SNS画面(PC用・モバイル用)、管理画面 でログアウトを行っても、セッションがサーバ側で破棄されない。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.17.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.20.1
[.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

コメント:0

コメントフォーム
お名前やメールアドレスを記録しますか?

トラックバック:0

この記事のトラックバックURL
http://www.openpne.jp/archives/12724/trackback/

ページの先頭に戻る