-オープンソースのSNSエンジン OpenPNEプロジェクト-

【緊急リリース】OpenPNE 3 に存在するサービス運用妨害 (DoS) 攻撃の脆弱性のお知らせ

12 / 22 水曜日 2010

OpenPNE 3 には、画像動的生成処理が適切におこなわれないことによる、サービス運用妨害 (DoS) 攻撃を許す脆弱性が存在します。

本日(12/22)、この問題の対策版として OpenPNE 3.0.8.3, 3.2.7.4, 3.4.9.2, 3.6beta8 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

3.0.8.2 以下、 3.2.7.3 以下、 3.4.9.1 以下、 3.6beta7 以下の OpenPNE を使用しているすべてのサイト。

※OpenPNE 2 を使用しているサイトは影響を受けません。

概要

OpenPNE 3 には、ユーザの投稿した画像を、ユーザのリクエストに応じて、動的にリサイズ、形式変換し、静的なファイルとしてキャッシュした上で表示する機能があります。一度生成されたものと同一のサイズ、同一の形式の画像のリクエストについては、キャッシュファイルを直接レスポンスすることで、負荷を抑えるような対応がおこなわれていました。

この機能の実装に誤りがあり、特定の形式の画像表示用の URL に対しリクエストがおこなわれた場合に、常に画像バイナリを DB などのストレージから取得し、形式変換等の処理をおこなってしまう問題が存在していました。画像を動的に取得、変換、生成して表示する処理は、静的にキャッシュしたファイルを表示するよりもはるかにコストの高い処理となります。そのため、そのようなリクエストを集中して実行されることで、 Web サーバがサービスを提供できない状態を引き起こされてしまいます。

想定される影響

この脆弱性を利用したサービス運用妨害 (DoS) 攻撃を受けた場合、 Web サーバが過負荷状態となり、その Web サーバ上で動作するアプリケーションなどが利用できなくなる可能性があります。

対策方法・回避方法

対策方法については、本エントリの「本問題への対応方法」をご覧ください。

この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示したバージョンの OpenPNE を利用しているすべての SNS は、対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta8
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.9.2
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.2.7.4
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.0.8.3
[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下から確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

謝辞

本問題は、 OpenPNE 公式 SNS 内の NUP 様よりご報告いただきました。厚く御礼申し上げます。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

トラックバック:1

ピンバック from Tweets that mention 【緊急リリース】OpenPNE 3 に存在するサービス運用妨害 (DoS) 攻撃の脆弱性のお知らせ|OpenPNE -- Topsy.com 10-12-22 (水) 15:51

[…] This post was mentioned on Twitter by ymkx, pnetan, pnetan, イマムぅ, pnetan and others. pnetan said: OpenPNE3 をお使いの皆様、バージョンアップをよろしくお願いします m(_ _)m RT @openpne: 【緊急リリース】OpenPNE […]

ページの先頭に戻る