-オープンソースのSNSエンジン OpenPNEプロジェクト-

セキュリティ関連告知

Home

【緊急告知】すべてのバージョンの OpenPNE 3 における、サーバ上ファイル漏洩の脆弱性についての注意喚起 (OPSA-2012-002)

12 / 03 月曜日 2012

すべてのバージョンの OpenPNE 3 にはサーバ上ファイルの漏洩に繋がる脆弱性が存在します。この脆弱性は OpenPNE 3 が使用している Web アプリケーションフレームワークの symfony において発覚した、以下の脆弱性 (CVE-2012-5574) に由来するものです。

Security release: symfony 1.4.20 released – Symfony

http://symfony.com/blog/security-release-symfony-1-4-20-released
Secunia Advisory SA51372 : Symfony Arbitrary File Disclosure Vulnerability
http://secunia.com/advisories/51372/

本脆弱性は、 OpenPNE 3 およびバンドルプラグインのソースコードに変更を加えずに運営している場合においては、影響が極めて限定的なものとなるため、緊急の対策版リリースは実施しません (脆弱性への修正は通常リリースにておこなう予定です)。

しかしながら、サイトの運用状況や、ソースコードの変更内容によっては、本脆弱性により無視のできない影響を受けることがあります。 OpenPNE 3 によるサイトを運営する方は、本エントリの内容を確認し、脆弱性によって発生するリスクを受容できないと判断できる場合は、早急な対策をおこなうことを強く推奨します。

本問題について

影響を受けるシステム

「画像以外のファイルアップロード機能を、 OpenPNE 3 のソースコードを改変するか、もしくはプラグインを導入することによって追加しているサイト」 (以下、「影響を受けるシステム A」と呼称します) は、本脆弱性によって甚大な影響を受ける可能性があります

また、以下の OpenPNE を使用しているサイト (以下、「影響を受けるシステム B」と呼称します) は、本脆弱性による限定的な影響を受ける可能性があります。

  • OpenPNE 3.8.3 以下、 OpenPNE 3.6.6 以下、 OpenPNE 3.4.21 以下、 OpenPNE 3.2.7.6 以下、 OpenPNE 3.0.8.5 以下のすべてのバージョン

「影響を受けるシステム B」において、画像のファイルアップロード機能を有するプラグインを使用している場合、その機能も同様に限定的な影響を受けます。バンドルプラグインのなかで該当するものは以下の通りです。

  • opAlbumPlugin
  • opCommunityTopicPlugin
  • opDiaryPlugin
  • opMessagePlugin

脆弱性の説明

symfony にて提供されているフォームフレームワークには、ファイルの送信をおこなう際のリクエストの検証に不備があり、特定の形式のパラメータを含むことで、 Web アプリケーションが設置されているサーバ上のファイル をアップロードすることができてしまうという問題があります。

この実装上の問題を悪用し、 Web サーバの権限で読み込み可能な任意のファイルを Web サーバの公開領域にアップロードさせることで、攻撃者はそのファイルの内容 (データベースの接続情報など) を取得することができます。

OpenPNE では、このフォームフレームワークを使用してフォームの構築や入力値の検証をおこなっています。したがって、ファイルのアップロードを受け付けるほとんどすべての場面において本脆弱性の影響を受けることになります。

想定される影響

  • 「影響を受けるシステム A」においては、本脆弱性によって、 Web サーバの権限によって読み取り可能なサーバ上のすべてのファイルの情報 (データベースの接続情報なども含まれます) を悪意のある攻撃者によって不正に取得される危険性があります
  • 「影響を受けるシステム B」においては、本脆弱性によって、 Web サーバの権限によって読み取り可能な サーバ上のすべての画像ファイルの情報を悪意のある攻撃者によって不正に取得される危険性があります

このうち、「影響を受けるシステム A」に関する影響は甚大であると考えられます。

一方で、「影響を受けるシステム B」については、影響はほとんど限定的です。 OpenPNE 自身に同梱された画像ファイルは既に世間一般に公開されているものです。また、画像ファイルアップロード機能によりアップロードされた画像自体には公開範囲の制限がありません。そのため、この脆弱性を利用することで攻撃者が新たに取得可能になる情報はないと考えられます。ただし、運用上の都合等によって サーバ上に秘密の画像を設置しているようなケースでは、本脆弱性によりその画像を取得される危険があります

対策方法

以下のいずれかの対応をおこなうことで、本脆弱性の影響を防ぐことができます。

  • 1. symfony の配布するパッチを適用する
  • 2. ファイルアップロードが可能な機能に対するアクセスを、 Web サーバの設定等によって制限する

ただし、「2. ファイルアップロードが可能な機能に対するアクセスを、 Web サーバの設定等によって制限する」については、お使いのプラグイン等によって設定方法が異なるため、ここでは、「1. symfony の配布するパッチを適用する」の対応についてのみ説明いたします。

パッチの適用方法

  • 1. http://trac.symfony-project.org/changeset/33598?format=diff&new=33598 から入手できる対策パッチを、 OpenPNE を設置しているディレクトリにアップロードします
  • 2. SSH でログインし、 1. のディレクトリに移動します
  • 3. 以下のコマンドを実行します

$ patch -d ./lib/vendor/symfony -p3 < パッチファイル名

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

【緊急リリース】opCommunityTopicPlugin 1.0.3 に存在する CSRF 脆弱性対応のお知らせ (OPSA-2012-001)

02 / 28 火曜日 2012

opCommunityTopicPlugin 1.0.3 には、コミュニティイベント参加者管理機能において、識別情報の検証が漏れていたことによる CSRF (クロスサイトリクエストフォージェリ) 脆弱性が存在します。

本日 (2/28)、この問題の対策版として opCommunityTopicPlugin 1.0.3.1 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

続きを読む

【緊急リリース】すべてのバージョンの OpenPNE に存在する、クライアント側キャッシュを経由した非公開情報漏洩の問題への対応のお知らせ (OPSA-2011-004)

09 / 15 木曜日 2011

OpenPNE 2 および OpenPNE 3 には、認証後のページをクライアントに送出する際に、キャッシュ制御に関する指示をおこなっていなかったため、ユーザの利用する環境によっては、非公開情報を含むページの情報がキャッシュ経由で他人に表示されてしまう問題が存在します。

本日 9 月 15 日 (木)、この問題の対策版リリースをおこないましたので、内容を確認のうえ、バージョンアップまたはパッチの適用をお願いいたします。

なお、 OpenPNE 2 については、設定によりこの問題を回避することが可能ですので、本エントリで併せて回避方法を解説していきます。

本問題について

影響を受けるシステム

以下のいずれかの条件に当てはまる場合、本問題の影響を受けます。

  • OpenPNE 3.0.8.4 以下、 3.2.7.5 以下、 3.4.15 以下、 3.6beta13 以下を利用しているサイト
  • OpenPNE 2 を利用しているサイトで、 OPENPNE_SEND_NO_CACHE_HEADER の設定値が false (デフォルト値)に設定されているサイト

概要

Web ブラウザやプロキシサーバといったクライアントは、パフォーマンス等の観点からレスポンスをキャッシュすることがあります。しかし、サーバから提供されるコンテンツのなかにはキャッシュするべきでない、またはキャッシュに際して留意が必要なものも存在しています。 HTTP では、そのような性質を持ったコンテンツを特定のヘッダを含めてレスポンスすることで、キャッシュの可否や有効期限などといった指示をクライアントに伝えることができます。

ところが、 OpenPNE では、非公開情報が含まれるであろうページであっても、このキャッシュに関する指示をレスポンスに含んでいなかったため、クライアント環境によっては、たとえば以下のような問題が生じていました。

  • Internet Explorer などのブラウザで、ログアウトしてもしばらくキャッシュからコンテンツが表示されてしまっていた
  • キャッシュ機能を持つプロキシを複数ユーザ間で利用している場合に、プロキシ側にキャッシュされた他のユーザのコンテンツが表示されてしまっていた

なお、 RFC 2616 Hypertext Transfer Protocol — HTTP/1.1“13.4 Response Cacheability” によると、今回のようなケースでは、クライアントは(特定の条件を除き)キャッシュの保存や表示をおこなうことができる(MAY)とされています。したがって、ログインユーザや特定の権限を持ったユーザにしか公開しない種類のコンテンツを多く有する OpenPNE でキャッシュ制御の指示がおこなわれていなかったのは、明らかな誤りでした。

想定される影響

クライアント側でのキャッシュを閲覧されてしまうことで、正当な権限を持たない者に非公開情報の取得がおこなわれてしまう恐れがあります。

キャッシュがおこなわれていない、またはキャッシュが削除されたコンテンツに関しては、この問題を利用して正当な権限を持たない者に閲覧されてしまうことはありません。また、プロキシサーバ等によりキャッシュが共有されるケースで、特定のユーザの非公開情報に絞って取得しようとすることは困難であると考えられます。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

サーバ側での回避方法

OpenPNE が動作する Web サーバ等において、レスポンスに以下のようなヘッダを強制的に付加するよう設定することで、この問題を回避することができます。

  • Expires: Fri, 22 Apr 1988 17:00:00 GMT
  • Cache-Control: no-store, no-cache, private, max-age=0, must-revalidate, post-check=0, pre-check=0
  • Pragma: no-cache

これらのヘッダを付加する Apache の設定の例は以下の通りです。

<IfModule mod_headers.c>
    Header set Expires "Fri, 22 Apr 1988 17:00:00 GMT" 
    Header set Cache-Control "no-store, no-cache, private, max-age=0, must-revalidate, post-check=0, pre-check=0" 
    Header set Pragma "no-cache" 
</IfModule>

ただし、すべてのユーザ間で共通のコンテンツを利用する(たとえば、 JavaScript や CSS などの静的ファイル)場合、常にこの設定値が適用されてしまうことでパフォーマンスが低下する恐れがあります。そのため、このような回避方法が採れる場合でも、「本問題への対応方法」を参考に、抜本的な対策をおこなうことを強く推奨します。

クライアント側での回避方法

キャッシュ機能を持つプロキシサーバを経由して OpenPNE を使用しており、プロキシサーバ側の設定でそのキャッシュ機能を無効にできる場合、ドキュメント等の案内に従ってキャッシュ機能を無効にすることで、この問題の影響を受けなくすることができます。

キャッシュ機能を持つプロキシサーバを経由していないか、キャッシュ機能を無効にしても OpenPNE のコンテンツがキャッシュされる場合、ブラウザ側でキャッシュをおこなっている可能性があります。このような場合は、ブラウザ側でキャッシュの更新確認に関する設定を変更することで、この問題の影響を受けなくすることができます。たとえば、 Internet Explorer を使用している場合は、 Microsoft 社のサポートページ内、「Internet Explorer のキャッシュ設定が Web の参照に与える影響」を参考に、「保存しているページの新しいバージョンの確認」を「ページを表示するごとに確認する」に設定してください。

本問題への対応方法

「影響を受けるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta14
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.15.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.2.7.6
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.0.8.5
[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

OpenPNE 2

config.php で、以下の設定値を false から true に変更してください。

// ページのキャッシュをさせないヘッダを送信するかどうか
// ただしau端末の場合はこの設定にかかわらず、常に「ページのキャッシュをさせないヘッダ」が送信されます
define('OPENPNE_SEND_NO_CACHE_HEADER', false);

ただし、この設定項目は OpenPNE 2.8 以下のバージョンには存在しません。 OpenPNE 2.8 以下のバージョンをお使いの方は、前述の各種回避方法を参考に、この問題を回避するようにしてください。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

【緊急リリース】opDiaryPlugin 1.3.2, 1.2.0.1, 1.0.0.1 以下に存在するWeb全体に公開機能に関するプライバシー上の問題対応のお知らせ (OPSA-2011-003)

09 / 01 木曜日 2011

opDiaryPlugin 1.3.2, 1.2.0.1, 1.0.0.1 以下には、日記をWeb全体に公開する機能に関するプライバシー上の問題が存在します。

本日9月1日、この問題の対策版として opDiaryPlugin 1.3.2.1, 1.2.0.2, 1.0.0.2 のリリースをおこないましたので、内容を確認のうえバージョンアップをお願いいたします。

本問題について

影響を受けるシステム

以下の「Web全体に公開」機能が実装された opDiaryPlugin を利用しているサイト

  • opDiaryPlugin 1.3.2 以下(OpenPNE 3.6beta/3.7 向け)
  • opDiaryPlugin 1.2.0.2 以下(OpenPNE 3.4 向け)
  • opDiaryPlugin 1.0.0.1 以下(OpenPNE 3.2 向け)

(OpenPNE 3.0 向けの opDiaryPlugin 0.8.x には本問題の影響はありません)

概要

「Web全体に公開」機能が実装された opDiaryPlugin では、メンバーが「Web全体に公開」に指定した日記を非ログイン状態でも表示できるようになっており、このページには日記と共にメンバーのニックネームとプロフィール画像が表示されます(携帯版の場合は、プロフィール画像は表示されませんがニックネームは表示されます)。

「Web全体に公開」の日記を書いたメンバーのニックネームとプロフィール画像が表示されるのは想定された仕様ですが、opDiaryPlugin 内の特定のページへアクセスすることにより、「Web全体に公開」の日記を書いているかどうかに関わらず、任意のSNSメンバーのニックネームとプロフィール画像が外部から閲覧できてしまう問題がありました。そのため、自分のニックネームやプロフィール画像が非ログイン状態でも閲覧されてしまうことについて認識していないメンバーの情報がSNS外部から閲覧可能な状態となっていました。

また、「Web全体に公開」機能を管理者が無効にすることができず、SNS内の情報は外部には非公開であることが前提でメンバーによる公開設定も禁止したいSNSで、opDiaryPlugin を利用することができませんでした。

想定される影響

ニックネームやプロフィール画像に含まれる、メンバーがSNS外への公開を意図していない情報を、SNSへのアカウント登録やログインなしで閲覧できてしまうことがあります。

対応方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

以下を実施することで、この問題を回避することができます。

  • 管理画面の「プラグイン設定」において、 opDiaryPlugin を無効にする

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の「プラグインバージョンアップ(必須)」および「日記をWeb全体に公開する機能の無効化(任意)」の対応を実施してください。

プラグインバージョンアップ(必須)

利用している OpenPNE のバージョンが 3.6beta13, 3.4.15, 3.2.7.5 よりも古い場合、最新版へマイナーバージョンアップをおこなってください。

各バージョンのマイナーバージョンアップ手順書はパッケージに同梱されていますが、以下からも確認することができます。

手順書に従ってバージョンアップをおこなうとバンドルされているプラグインも更新されます。

既に最新版の OpenPNE を利用している場合、以下のコマンドを実行してください。

$ ./symfony openpne:migrate

※OpenPNE 3.2.7.5 を利用している場合、openpne:migrate 実行時に「PHP Strict standards」のエラーが大量に表示されてしまい処理が完了しないことがあります。この場合は openpne:migrate の代わりに以下のように opPlugin:sync タスクを実行してください。
(今回のリリース内容では opPlugin:sync でも問題なくアップデートすることができます。)

$ ./symfony opPlugin:sync

今回対策されたプラグインのうち、バンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

opDiaryPlugin
opDiaryPlugin-1.3.2.1
opDiaryPlugin-1.2.0.2
opDiaryPlugin-1.0.0.2

日記をWeb全体に公開する機能の無効化(任意)

今回の対策版では「日記をWeb全体に公開する機能」を完全に無効化するための設定を管理画面に追加しています。この設定は任意です。

SNS内の情報は外部には非公開であることが前提のSNSを運用しており、メンバーがWeb全体に公開の日記を書いたり、それに伴ってメンバーのニックネームやプロフィール写真の情報が公開されてしまうのが問題である場合は、プラグインのバージョンアップと合わせてこの設定もおこなってください。

日記をWeb全体に公開する機能を無効化した場合には、メンバーが日記の作成・編集をする際に公開範囲として「Web全体に公開」を選択できないようになります。また、メンバーが過去に書いた日記ページも含めて、opDiaryPlugin 内のすべてのページを非ログイン状態では見られないようになります。

設定は以下の手順でおこなってください。

  1. 管理画面の「プラグイン設定」から opDiaryPlugin の「設定」をクリックし、日記プラグイン設定画面を開く
  2. 「Web全体に公開機能使用設定」で「使用しない」を選択し、フォーム下部の「確定」ボタンをクリックする

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

【緊急リリース】 opAuthMobileUIDPlugin 1.0.0 および opAuthMobileUIDPlugin 1.3.1 以下におけるログイン処理の実装不備に関するなりすましログインの脆弱性のお知らせ (OPSA-2011-002)

05 / 16 月曜日 2011

opAuthMobileUIDPlugin 1.0.0 および opAuthMobileUIDPlugin 1.3.1 以下にはログイン処理の実装に誤りがあり、なりすましログインがおこなわれてしまう問題が存在しています。

本日(05/16)、この問題の対策版として opAuthMobileUIDPlugin 1.0.0.1、opAuthMobileUIDPlugin 1.3.1.1 のリリースをおこないました。また、この問題を引き起こした OpenPNE 側の実装不備の修正のために OpenPNE 3.4.12.1、 OpenPNE 3.6beta10 のリリースも併せておこないました。

内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

  • opAuthMobileUIDPlugin 1.0.0 もしくは opAuthMobileUIDPlugin 1.3.1 以下を利用しており、以下のすべての条件を満たしているサイト
    • OpenPNE 2 からのアップグレードをおこなっている
    • そのアップグレード作業が OpenPNE 3.4.12 以下もしくは OpenPNE 3.6beta9 以下のバージョンを利用しておこなわれた

概要

opAuthMobileUIDPlugin に実装上の不備があり、 OpenPNE 2 からのアップグレードをおこなった OpenPNE 3 に対して特定の操作をおこなうことで、なりすましログインがおこなわれてしまう問題がありました。

想定される影響

なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更を、なりすましたメンバーの権限でおこなわれてしまう可能性があります。

ただし、なりすましの対象となるメンバーは特定の条件を満たしている必要があり、悪意のあるユーザが自由にメンバーを選択できるというものではありません。

対応方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

以下のいずれかを実施することで、この問題を回避することができます。

  • 管理画面の「SNS 設定」において、「携帯版使用設定」を「使用しない」に設定する
  • 管理画面の「プラグイン設定」内「認証プラグイン設定」において、 opAuthMobileUIDPlugin を無効にする

謝辞

本問題は、囲碁SNS goxi 管理人 政光順二様よりご報告いただきました。厚く御礼申し上げます。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下のすべての対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta10
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.12.1
[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

今回対策されたプラグインのうち、バンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、各プラグインのリリース情報を参考に更新をおこなってください。

opAuthMobileUIDPlugin
opAuthMobileUIDPlugin-1.0.0.1
opAuthMobileUIDPlugin-1.3.1.1

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001)

04 / 21 木曜日 2011

OpenPNE 3 といくつかのバンドルプラグインには、権限確認不備に関する複数のプライバシー上の問題が存在します。

本日(04/21)、この問題の対策版リリースを、 OpenPNE 3 と以下のバンドルプラグインに対しておこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

  • opAshiatoPlugin
  • opAlbumPlugin
  • opCommunityTopicPlugin
  • opDiaryPlugin
  • opFavoritePlugin
  • opMessagePlugin
  • opOpenSocialPlugin
  • opRankingPlugin

本問題について

影響を受けるシステム

  • OpenPNE 3.0.8.3 以下、 3.2.7.4 以下、 3.4.11 以下、 3.6beta8 以下を利用しており、次の条件のうちいずれかを満たすサイト
    • プロフィール項目の「誕生日」を利用している
    • プロフィール項目の「自己紹介」を利用しており、かつ、公開範囲設定を「メンバー選択」にしているか、公開範囲設定が「固定」で「デフォルト値」を「全員に公開」以外にしている(※)
  • opAshiatoPlugin 0.8.0 以下、 0.9.0 以下、0.9.1.1 以下が有効なサイト
  • opMessagePlugin 0.8.2.3 以下、 0.9.1 以下が有効なサイト
  • opOpenSocialPlugin 0.9.9.1 以下、 1.0.4.1 以下、 1.2.2 以下、 1.3.1 以下を利用しており、プロフィール項目の「誕生日」が有効なサイト
  • opCommunityTopicPlugin 0.9.8 以下、 1.0.1 以下が有効なサイト
  • opDiaryPlugin 1.0.0 以下、 1.2.0 以下、 1.3.1 以下が有効なサイト
  • opAlbumPlugin 0.9.4 以下が有効なサイト
  • opFavoritePlugin 0.8.0.1 以下、 0.9.0.1 以下、 1.0.0.2 以下が有効で、(※)と同じ条件を満たしているサイト
  • opRankingPlugin 0.8.0 以下、 1.0.0 以下が有効で、(※)と同じ条件を満たしているサイト

概要

OpenPNE 3 やバンドルプラグインの特定箇所における、権限の確認に不備があったために、以下のようなプライバシー上の問題が生じていました。

  • 特定の URL にアクセスすることで、他人についているあしあとの一覧が閲覧できていた
  • opOpenSocialPlugin で提供される Person API が誕生日・年齢の公開範囲に従っていなかった(非公開設定であっても出力していた)
  • コミュニティトピック検索において、誤った検索条件を指定していたために、非公開のコミュニティトピックが含まれているなど、適切でない検索結果になっていた
  • SNS のメンバーでなくても opDiaryPlugin, opAlbumPlugin の特定のログイン後ページが閲覧できていた
  • アクセスブロックされていてもアルバムを見ることができていた
  • アクセスブロックされていても特定の操作をおこなうことでメッセージを送信できていた
  • メンバー検索やランキング、お気に入り関連画面において、年齢や自己紹介といった一部のプロフィール項目の公開範囲が適切に考慮されていなかった

想定される影響

条件を満たすサイトにおいて、利用者が公開を希望していない特定の情報が、権限を満たさない場合でも知られてしまうことがあります。

また、 opMessagePlugin においては、アクセスブロックされていてもメッセージの送信が可能であるために、受信者が嫌がらせ等のメッセージを拒否できない状態に陥ってしまうことがあります。

対応方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

  • 影響を受けるプラグインを有効にしているが、実際にはそのサイトで利用していない場合、当該プラグインを無効にすることで一時的にこの問題を回避することができます
  • OpenPNE 3 が抱える問題については、プロフィール項目の「誕生日」や「自己紹介」を削除することでこの問題を回避することができます
  • opFavoritePlugin や opRankingPlugin が抱える問題については、プロフィール項目の「自己紹介」を削除することでもこの問題を回避することができます

なお、プロフィール項目を削除してしまうと、そのプロフィール項目に対するユーザの入力値も削除されてしまうため、この対応を採る場合、充分に検討したうえで実施してください。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

なお、 opOpenSocialPlugin を利用している場合は、本エントリ内「opOpenSocialPlugin の修正適用に関する注意事項」もご確認ください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

※以下のバージョンでは、本脆弱性への対応のほかに、 PHP 5.3.4 以降で一部のプラグインパッケージが導入できなかったバグへの対応もおこなわれています。これについては別途補足エントリにて説明いたします。

OpenPNE 3.6beta9
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.11.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.2.7.5
[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.0.8.4
[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

今回対策されたプラグインのうち、バンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、各プラグインのリリース情報を参考に更新をおこなってください。

opAshiatoPlugin
opAshiatoPlugin-0.8.0.1
opAshiatoPlugin-0.9.0.1
opAshiatoPlugin-0.9.1.2
opAlbumPlugin
opAlbumPlugin-0.9.3.1
opAlbumPlugin-0.9.4.1
opCommunityTopicPlugin
opCommunityTopicPlugin-0.9.8.1
opCommunityTopicPlugin-1.0.1.1
opDiaryPlugin
opDiaryPlugin-1.0.0.1
opDiaryPlugin-1.2.0.1
opDiaryPlugin-1.3.1.1
opFavoritePlugin
opFavoritePlugin-0.8.0.2
opFavoritePlugin-0.9.0.2
opFavoritePlugin-1.0.0.4
opOpenSocialPlugin
opOpenSocialPlugin-0.9.9.2
opOpenSocialPlugin-1.0.4.2
opOpenSocialPlugin-1.2.2.1
opOpenSocialPlugin-1.3.1.1
opRankingPlugin
opRankingPlugin-0.8.0.1
opRankingPlugin-1.0.0.1
opMessagePlugin
opMessagePlugin-0.8.2.4
opMessagePlugin-0.9.1.1

opOpenSocialPlugin の修正適用に関する注意事項

今回のリリースにより、非公開の誕生年が Person API から取得できなくなります。取得不能な誕生年を含む出力をリクエストした場合、年部分が 0000 年であるとして出力されるようになります。これは、 OpenSocial 0.9 の以下の仕様に従った変更となります。

The year value MAY be set to 0000 when the age of the Person is private or the year is not available.

0000 年を返すことにより、いわゆる 2038 年問題への配慮がなされていない(0000 年(紀元前1年)の日付を認識できない)アプリが動作しなくなる可能性があります。また、 2038 年問題への配慮がなされているアプリでも、この変更により意図しない動作がおこなわれるようになる可能性があります。

したがって、 opOpenSocialPlugin を使用したサイトでは、提供しているアプリが影響を受けないかどうかを必ず確認したうえで、修正の適用をおこなってください。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

シリアル番号について

OpenPNE プロジェクトでは、今回から、脆弱性リリースにシリアル番号を導入することにしました。

今回の緊急リリースには OPSA-2011-001 というシリアル番号を与えます。このシリアル番号でない緊急リリースは、たとえ類似の問題であったとしても、この緊急リリースとは異なるリリースとなるのでご注意ください。

【緊急リリース】OpenPNE 3 に存在するサービス運用妨害 (DoS) 攻撃の脆弱性のお知らせ

12 / 22 水曜日 2010

OpenPNE 3 には、画像動的生成処理が適切におこなわれないことによる、サービス運用妨害 (DoS) 攻撃を許す脆弱性が存在します。

本日(12/22)、この問題の対策版として OpenPNE 3.0.8.3, 3.2.7.4, 3.4.9.2, 3.6beta8 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

3.0.8.2 以下、 3.2.7.3 以下、 3.4.9.1 以下、 3.6beta7 以下の OpenPNE を使用しているすべてのサイト。

※OpenPNE 2 を使用しているサイトは影響を受けません。

概要

OpenPNE 3 には、ユーザの投稿した画像を、ユーザのリクエストに応じて、動的にリサイズ、形式変換し、静的なファイルとしてキャッシュした上で表示する機能があります。一度生成されたものと同一のサイズ、同一の形式の画像のリクエストについては、キャッシュファイルを直接レスポンスすることで、負荷を抑えるような対応がおこなわれていました。

この機能の実装に誤りがあり、特定の形式の画像表示用の URL に対しリクエストがおこなわれた場合に、常に画像バイナリを DB などのストレージから取得し、形式変換等の処理をおこなってしまう問題が存在していました。画像を動的に取得、変換、生成して表示する処理は、静的にキャッシュしたファイルを表示するよりもはるかにコストの高い処理となります。そのため、そのようなリクエストを集中して実行されることで、 Web サーバがサービスを提供できない状態を引き起こされてしまいます。

想定される影響

この脆弱性を利用したサービス運用妨害 (DoS) 攻撃を受けた場合、 Web サーバが過負荷状態となり、その Web サーバ上で動作するアプリケーションなどが利用できなくなる可能性があります。

対策方法・回避方法

対策方法については、本エントリの「本問題への対応方法」をご覧ください。

この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示したバージョンの OpenPNE を利用しているすべての SNS は、対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta8
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.9.2
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.2.7.4
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.0.8.3
[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下から確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

謝辞

本問題は、 OpenPNE 公式 SNS 内の NUP 様よりご報告いただきました。厚く御礼申し上げます。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

【緊急リリース】OpenPNE 3 に存在するセッション管理の不備に関する複数の脆弱性のお知らせ

12 / 08 水曜日 2010

OpenPNE 3 には、セッション管理の不備に関する複数の脆弱性が存在します。

本日(12/8)、この問題の対策版として OpenPNE 3.0.8.2, 3.2.7.3, 3.4.9.1, 3.6beta7 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

3.0.8.1 以下、 3.2.7.2 以下、 3.4.9 以下、 3.6beta6 以下の OpenPNE を使用しており、以下のどちらかまたはすべての条件を満たしているサイト。

1. セッションストレージにデータベースを設定している
2. 他の OpenPNE 3 とセッション保存先を共有している

※OpenPNE 2 を使用しているサイトは影響を受けません。

概要

OpenPNE のセッション管理が以下に説明するように不適切であったために、ログイン状態の継続などが正しくおこなえない状態にありました。

・(3.0.x を除く) セッションストレージとしてデータベースを使用していた場合に、セッションの継続に用いられるセッション ID を誤った形で保存していました。セッション ID で使われる文字種は、 PHP の設定により異なりますが、少ない場合でも 0-9, a-f となります。しかし、データベース内のセッション保存用のテーブルを誤った設定で構築していたため、本来のセッション ID の数値部分しか保存しない状態にありました。このような状態ではセッション ID が頻繁に衝突するようになるため、自分のセッション ID が他のユーザが使っているセッション ID とみなされてしまうことがあります。また、セッション ID が容易に推測可能であるため、なりすましの危険も高くなります。

・他の OpenPNE 3 とセッション保存先を共有していた際に、他方の SNS 向けのセッション ID をそのまま受け入れてしまう問題がありました。セッションを共有している A と B の SNS があったとして、 A のセッション ID を使って B にアクセスすることで、 A ではメンバー ID が 1 のメンバーが B でもメンバー ID が 1 であるとみなされてしまいます。複数の OpenPNE 間でセッション保存先を共有するのは OpenPNE では想定された使用方法であるはずでした。

想定される影響

条件を満たす SNS において、意図せずに、または故意に別のメンバーとしてアクセスできてしまうことで、非公開情報の漏洩などを許してしまう可能性があります。

対策方法・回避方法

対策方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

一時的にこの問題を回避する場合、以下のすべての対策を採ってください。

セッションストレージとしてデータベースを使用しない

ファイルストレージもしくは memcached を使用する

他の OpenPNE 3 とセッション保存先を共有しない

ファイルストレージの場合は ProjectConfiguration.class.php でセッションの保存先パスを他の OpenPNE 3 と別のものに設定する

memcached を使用している場合は、 OpenPNE.yml でセッションの保存先が他の OpenPNE 3 と別のものになるよう設定してください。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たした OpenPNE を利用しているすべての SNS は、対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

なお、マイナーバージョンアップや修正パッチの適用をおこない、 OpenPNE.yml の check_session_site_identifier の値が true のままであると、既存のすべてのセッションが無効になります。この件についての詳細は、「既存のセッションが無効になることについて」をご覧ください。

OpenPNE 3.6beta7
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.9.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.2.7.3
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.0.8.2
[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施した後、セッションを DB に正しく保存できるようにするためのコマンドを実行します。

各バージョンのマイナーバージョンアップ手順書は以下から確認することができます。

通常のマイナーバージョンアップが完了した後、以下のコマンドを実行してください。

$ ./symfony openpne:fix-session-db

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate
$ ./symfony openpne:fix-session-db

既存のセッションが無効になることについて

これは、他の OpenPNE とセッション保存先を共有しても問題にならないよう、セッションデータの形式を変更したために発生する現象です。

セッションが無効になると、ログイン中のメンバーが一斉にログアウトすることになるため、編集中の日記などの情報が失われたり、多くのメンバーが一斉にログインを試みようとすることから一時的に負荷が高くなるといったことが起こりえます。そのため、事前に予告をしたうえで本脆弱性への対応を実施することをお勧めします。

セッションをデータベースに保存しておらず、他の OpenPNE とセッション保存先を共有していないサイト (つまり本脆弱性の影響を受けないサイト) で、既存のすべてのセッションが無効になってしまっては都合が悪い場合、 OpenPNE.yml にて check_session_site_identifier を false に変更することで、セッションデータの形式がバージョンアップ前と同様のものになるため、既存のすべてのセッションが無効になるのを防ぐことができます。

check_session_site_identifier: false

セッションをデータベースに保存している場合

セッションをデータベースに保存している場合は、 check_session_site_identifier を false に変更したとしても、既存のセッションがすべて無効になります。この場合、既存のセッションが無効になることについての回避策は存在しません。

本脆弱性への対策をおこなっていない OpenPNE 3 でセッションをデータベースに保存していた場合、そのセッションの ID は安全なものではなく、この状態で運営を続けることは極めて危険です。早急に「対策方法・回避方法」で示している対応を実施してください。

【緊急リリース】2010/11/21以前にリリースされたopOpenSocialPlugin に存在する XSS 脆弱性対応のお知らせ

11 / 22 月曜日 2010

2010年11月21日以前にリリースされた、opOpenSocialPluginには、いくつかの箇所でアプリに関する文字列の処理が正しく行われないことによる XSS脆弱性が存在します。
本日、11月22日(月) に opOpenSocialPlugin の全バージョンに対する緊急リリース を行いましたので、内容を確認の上、各自マイナーバージョンアップ もしくは パッチの適用をお願いします。

本問題について

影響を受けるシステム

  • 2010年11月21日以前にリリースされた、すべてのopOpenSocialPlugin かつ アプリを利用している場合 (モバイル向けは対象外です。)

* 現時点でOpenPNE3.0.8, 3.2.7.2, 3.4.9, 3.6beta6 のインストール時に導入される opOpenSocialPluginは、本脆弱性の対応済みのものになります。

概要

opOpenSocialPlugin 内のいくつかの箇所において、アプリに関する文字列の処理が適切におこなわれておらず、閲覧者のブラウザ上で任意のスクリプトが実行可能な状態にありました。

想定される影響

ターゲットとなったSNSに悪意のあるアプリが導入されることにより、閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。

回避方法・対処方法

opOpenSocialPluginを利用していない場合は、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opOpenSocialPlugin」を無効にすることで、この脆弱性の影響を受けなくすることができます。
もしくは、pc版を利用していない場合は、SNS管理画面の「SNS設定」>「一般的な設定」にて「PC利用設定」を「利用しない」にすることにより、この脆弱性の影響を受けなくすることができます。

上の回避方法が取れない場合は、早急にバージョンアップを行って下さい。

対処方法に関しては、本エントリの「対処方法」をご覧ください。

対処方法

マイナーバージョンアップを行うか、patchを適用してください。

opOpenSocialPlugin 0.8.2.1-beta (OpenPNE3.0) 向け

opOpenSocialPlugin 0.8.2.1-beta は OpenPNE3.0.x のインストール時に導入されるバージョンです。

プラグインのマイナーバージョンアップを実行します。

例) OpenPNEのディレクトリで以下を実行します。

$ ./symfony opPlugin:install opOpenSocialPlugin -r 0.8.2.2
$./symfony cc

もしくは plugins/opOpenSocialPlugin に対して patch を適用してください。

https://gist.github.com/raw/709962/705434a19c27b4ad3a49ce57c8db767e80f5f0fa/opOpenSocialPlugin0_8_2_1_to0_8_2_2.diff

$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin0_8_2_1_to0_8_2_2.diff

0.9.9 (OpenPNE3.2, 3.4) 向け

opOpenSocialPlugin 0.9.9 は OpenPNE3.2.x, 3.4.x のインストール時に導入されるバージョンです。

プラグインのマイナーバージョンアップを実行します。

例) OpenPNEのディレクトリで以下を実行します。

$ ./symfony opPlugin:install opOpenSocialPlugin -r 0.9.9.1
$./symfony cc

もしくは plugins/opOpenSocialPlugin に対して以下のpatch を適用してください。

https://gist.github.com/raw/709962/83f3db7b2c168919efe36e377c1f4f9b03d5cf0c/opOpenSocialPlugin0_9_9to0_9_9_1.diff

$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin0_9_9to0_9_9_1.diff

1.0.4向け

プラグインのマイナーバージョンアップを実行します。

例) OpenPNEのディレクトリで以下を実行します。

$ ./symfony opPlugin:install opOpenSocialPlugin -r 1.0.4.1
$./symfony cc

もしくは plugins/opOpenSocialPlugin に対して以下のpatch を適用してください。

https://gist.github.com/raw/709962/ce71411a632b1ec95dbeb1b797717f2cc68f9b90/opOpenSocialPlugin1_0_4to1_0_4_1.diff

$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin1_0_4to1_0_4_1.diff

1.2.1 (OpenPNE3.6) 向け

opOpenSocialPlugin 1.2.1 は OpenPNE3.6.x のインストール時に導入されるバージョンです。

プラグインのマイナーバージョンアップを実行します。

例) OpenPNEのディレクトリで以下を実行します。

$ ./symfony opPlugin:install opOpenSocialPlugin -r 1.2.1.1
$./symfony cc

もしくは plugins/opOpenSocialPlugin に対して 以下のpatch を適用してください。

https://gist.github.com/raw/709962/ce71411a632b1ec95dbeb1b797717f2cc68f9b90/opOpenSocialPlugin1_2_1to1_2_1_1.diff

$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin1_2_1to1_2_1_1.diff

1.3.0向け

プラグインのマイナーバージョンアップを実行します。

例) OpenPNEのディレクトリで以下を実行します。

$ ./symfony opPlugin:install opOpenSocialPlugin -r 1.3.0.1
$./symfony cc

もしくは plugins/opOpenSocialPlugin に対して以下のpatch を適用してください。

https://gist.github.com/raw/709962/ce71411a632b1ec95dbeb1b797717f2cc68f9b90/opOpenSocialPlugin1_3_0to1_3_0_1.diff

$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin1_3_0to1_3_0_1.diff

【緊急リリース】OpenPNE 3.5.2 以降に存在する XSS 脆弱性対応のお知らせ

08 / 18 水曜日 2010

開発版 OpenPNE 3.5.2 以降には、いくつかの箇所においてユーザ入力値の処理が適切におこなわれていないことによる XSS 脆弱性が存在します。
本日(8/18)、この問題の対策版として OpenPNE 3.6beta3 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

なお、安定版としてリリースをおこなっている OpenPNE 3 系(OpenPNE 3.0, OpenPNE 3.2, OpenPNE 3.4)は本問題の影響を受けません。

続きを読む

ページの先頭に戻る