-オープンソースのSNSエンジン OpenPNEプロジェクト-

OpenPNE 3.6.21、3.8.18 以下 に存在する アクティビティのアクセスブロックに関する複数の脆弱性 の修正のお知らせ(OPSA-2016-001)

02 / 25 木曜日 2016

OpenPNE 3.6.21、3.8.18 以下 には、アクティビティのアクセスブロックに関する複数の脆弱性が存在します。

本日(2016/02/25)、この問題の対策版として OpenPNE 3.6.21.1、3.8.18.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.21、3.8.18 以下 には、下記のアクティビティのアクセスブロックに関する複数の脆弱性が存在していました。

  1. 1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
  2. 2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題

本問題について

影響を受けるシステム

1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
OpenPNE 3.6.21、3.8.18 以下を利用しており、「全員のアクティビティ」ガジェットを利用しているサイト
2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
OpenPNE 3.8.18 以下を利用しているサイト

想定される影響

1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
アクセスブロックを行ったメンバーの投稿をアクセスブロックされているメンバーが閲覧できてしまう。
また、「もっと読む」のリンク先(/member/showAllMemberActivity) でも同様の問題が発生する。
なお、メンバー毎のアクティビティ一覧ページ(/member/showActivity/id/*)ではアクセスブロック設定に応じて正しく表示される。
2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
アクセスブロックを行ったメンバーの投稿をアクセスブロックされているメンバーが閲覧できてしまう。
アクティビティ検索API を利用しているため opTimelinePlugin(すべてのバージョン) でも同様の問題が発生する。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.18.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.21.1
[.zip 版ダウンロード] [修正パッチ]

なお、opTimelinePlugin 自体の更新は必要ありません。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

コメント:2

やまやま 16-02-26 (金) 15:25

本日、CentOS環境にインストールしたのですが、webフォルダ内にあるはずの menberフォルダがごっそりなく動きません。
どうしたらよいのでしょうか。

nishizoe 16-02-26 (金) 16:34

> やまやまさん

OSS版のOpenPNEをダウンロードしインストールした場合、
OpenPNE インストールディレクトリ内のweb フォルダ下には
menber (または member) フォルダはありません。

動かないとのことですが、どのようなエラーが発生していますでしょうか。

ページの先頭に戻る