-オープンソースのSNSエンジン OpenPNEプロジェクト-

【緊急リリース】 opMessagePlugin の脆弱性対応リリース(0.9.0.1, 0.8.2.1)のお知らせ

11 / 29 日曜日 2009

OpenPNE 開発チームの海老原です。

本日 2009/11/29 (日) 、 opMessagePlugin にクロス・サイト・リクエスト・フォージュリ (CSRF) の脆弱性が発見されたため、緊急リリースをおこないました。

対象:

  • opMessagePlugin 0.8.2 以前 (OpenPNE 3.0.0 〜 3.0.5 に同梱されているもの)
  • opMessagePlugin 0.9.0 (OpenPNE 3.1.5 〜 3.2 beta1 に同梱されているもの)

影響を受けるシステム:

対象のバージョンの opMessagePlugin を使用しているすべての OpenPNE3
(ただし、2009/11/29 05:31 以降にセットアップをおこなった OpenPNE3 には対策版のプラグインがインストールされるため、影響を受けません)

想定される影響:

OpenPNE3 にログインした状態で、悪意のあるプログラムコードが含まれたページにアクセスすると、任意のメッセージを削除、またはゴミ箱から復元されてしまう恐れがあります。

対策方法:

OpenPNE 3.0.3 〜 3.0.5 をお使いの場合、以下のコマンドを実行してアップデートを実施してください。

$ symfony opPlugin:install opMessagePlugin -r 0.8.2.1
$ symfony propel:build-model
$ symfony propel:build-form
$ symfony propel:build-filter
$ symfony cc

OpenPNE 3.1.5 〜 OpenPNE 3.2beta1 をお使いの場合、以下のコマンドを実行してアップデートを実施してください。

$ symfony opPlugin:install opMessagePlugin -r 0.9.0.1
$ symfony doctrine:build-model
$ symfony doctrine:build-form
$ symfony doctrine:build-filter
$ symfony cc

OpenPNE 3.0.0, 3.0.1, 3.0.2 をお使いの方は、 OpenPNE 3.0.3 へのアップデートを実施してください。

コメント:1

migi 10-01-19 (火) 1:50

openpne3.4.xをはじめたが、報告:
メンバーから届いたメッセージに返信すると、サーバレベルのエラになる。

コメントフォーム
お名前やメールアドレスを記録しますか?

トラックバック:0

この記事のトラックバックURL
http://www.openpne.jp/archives/3982/trackback/

ページの先頭に戻る