[OPSA-2017-001] SNSメンバー間におけるアクセス制限を回避する脆弱性に対する修正
02 / 09 木曜日 2017
本日 (2017/02/09)、OpenPNE に対して次の通りセキュリティリリースを行いました。内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
- OpenPNE 3.8.22.1
- OpenPNE 3.6.25.1
これらのバージョンは、OpenPNE に存在する次の脆弱性に対する修正を含んでいます。
- SNSメンバー間におけるアクセス制限を回避する脆弱性
各脆弱性の詳細については以下を参照して下さい。
1. SNSメンバー間におけるアクセス制限を回避する脆弱性
OpenPNE について、SNS メンバー間のアクセスブロック設定によるアクセス制限を回避する脆弱性が発見されました。
想定される影響
SNSに登録しているユーザーによって、下記のような操作を行われる可能性があります。
- アクセスブロック機能でアクセスが制限されているメンバーのプロフィール写真一覧 (メイン写真に設定していないものを含む) を閲覧される可能性があります
- アクセスブロック機能でアクセスが制限されているメンバーの参加コミュニティ一覧を閲覧される可能性があります
影響を受けるバージョン
- OpenPNE 3.8.22 以下
- OpenPNE 3.6.25 以下
対策方法
今回提供されるアップデートを適用して下さい。この脆弱性についてアップデートを行わずに回避する方法はありません。
アップデート方法
OpenPNE 3
対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.8.22.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.6.25.1
- [.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。
各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
4. 以下のコマンドを実行します
$ ./symfony openpne:migrate
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。