-オープンソースのSNSエンジン OpenPNEプロジェクト-

OpenPNE携帯版での脆弱性対応方法

04 / 03 木曜日 2008

【緊急リリース】OpenPNE携帯版での脆弱性対応版リリースのお知らせ
http://www.openpne.jp/archives/449/

にて告知されている脆弱性の対応手段について説明いたします。以下のような手順で、お使いのOpenPNEに脆弱性への対応をおこなってください

A. 修正がすぐに適用できる場合

  1. パッチを当てる場合(OpenPNE 2.10.5を基にしています)
    1. パッチをダウンロードしてください(パッチのURLはhttp://www.openpne.jp/archives/449/で知ることができます)
      $ wget https://trac.openpne.jp/svn/OpenPNE_specification/patch/OpenPNE_2_10_5_to_OpenPNE_2_10_5_1.patch
    2. お使いのOpenPNEがあるディレクトリに移動してください
      $ cd OpenPNE/
    3. ダウンロードしたパッチを適用してください
      $ patch -p0 < ../OpenPNE_2_10_5_to_OpenPNE_2_10_5_1.patch
  2. 対応バージョンへのソースコードの一括置換をおこなう場合
    1. 対応バージョンのアーカイブをダウンロードしてください(アーカイブのURLはhttp://www.openpne.jp/archives/449/で知ることができます)
    2. アーカイブを解凍ソフトなどを使って展開してください
    3. お使いのOpenPNEのディレクトリのうち、 webapp_ext 以下のファイルや、 config.php など、変更を加えたファイルのバックアップをとってください (※ただし、webap(_ext) /modules/ktai/page/o_login2.phpに変更を加え>
      ている場合は、パッチを参考に変更を適用してください)
    4. お使いのOpenPNEのソースコードを、対応バージョンのOpenPNEのソースコードに置き換えてください
    5. 新しいバージョンのconfig.phpを、バックアップをとったconfig.phpを参考に書き換えてください
  3. 修正コードのみの置換をおこなう場合
    1. 対応バージョンのアーカイブをダウンロードしてください(アーカイブのURLはhttp://www.openpne.jp/archives/449/で知ることができますす)
    2. アーカイブを解凍ソフトなどを使って展開してください
    3. 新しいバージョンの webapp/modules/ktai/page/o_login2.php を、お使いのOpenPNEの webapp/modules/ktai/page/o_login2.php と置き換えてください

B. 修正がすぐに適用できない場合(OpenPNE 2.10.5を基にしています)

  1. 管理画面から「SNS設定」ページを開いてください
  2. 「携帯版使用設定」で「使用不可にする」を選択してください
  3. ページ最下部の「設定変更する」ボタンをクリックしてください
  4. たとえば以下のような手段で、参加者に「セキュリティフィックスのために一時的に携帯版の利用を停止する」旨を伝えてください
    • 管理画面「お知らせ・規約設定」ページの「<PC版>ホームのお知らせ」による告知
    • 管理画面「メンバーリスト」ページ下部の「すべてのメンバーにメッセージ/Eメールを送る」ボタンから作成できる、メッセージ/Eメール一括送信による告知

コメント:1

signdigit 08-04-05 (土) 14:10

2.10系利用者です。

OpenPNE_2_10_5_to_OpenPNE_2_10_5_1.patch
では、
webapp/version.php
は書き換えしないのでしょうか?

以前の
2.10.4 -> 2.10.4.1 -> 2.10.4.2
のパッチの時には書き換えされていたような気がしましたので。

コメントフォーム
お名前やメールアドレスを記録しますか?

トラックバック:0

この記事のトラックバックURL
http://www.openpne.jp/archives/450/trackback/

ページの先頭に戻る