-オープンソースのSNSエンジン OpenPNEプロジェクト-

【緊急リリース】脆弱性対応のお知らせ OpenPNE2 OpenPNE3 opCommunityTopicPlugin opOpenSocialPlugin opFavoritePlugin opIntroFriendPlugin

08 / 11 水曜日 2010

本日、OpenPNE2・OpenPNE3 で発覚した複数の脆弱性について対応リリース・パッチの提供をおこないました。
バージョンごとに対応が異なりますので、内容をご確認の上バージョンアップまたはパッチの適用をお願いします。

対応内容

Google マップ 小窓にクロスサイトスクリプティング(XSS)脆弱性

Google マップ 小窓にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。

Google マップ 小窓についての説明は以下をご覧ください。

OpenPNE小窓機能紹介
http://www.openpne.jp/cmd/
小窓の使い方 – Google マップ 小窓
http://www.openpne.jp/cmd/list/#maps.google.co.jp

影響を受けるシステム

Google マップ 小窓を有効にしている全てのOpenPNE2 OpenPNE3

応急処置方法

OpenPNE2

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」>「CMD設定」にて以下の小窓を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。

  • maps.google.co.jp
  • maps.google.com
  • www.google.co.jp
  • www.google.com
OpenPNE3

応急処置方法はありません。早急なバージョンアップをお願いします。

コメント返信補助機能設定にクロスサイトスクリプティング(XSS)脆弱性

コメント返信補助機能にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、閲覧者の個人情報漏洩やなりすましログインを許してしまう可能性があります。

影響を受けるシステム

コメント返信補助機能を有効にしている OpenPNE2.14

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」>「SNS設定」にて「コメント返信補助機能設定」を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。

OpenPNE3 の複数箇所でクロスサイトリクエストフォージュリ(CSRF)脆弱性

OpenPNE3 の一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

全てのOpenPNE3

応急処置方法

応急処置方法はありません。早急なバージョンアップをお願いします。

opCommunityTopicPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opCommunityTopicPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opCommunityTopicPlugin 0.9 (OpenPNE3.2対応) ~

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opCommunityTopicPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opOpenSocialPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opOpenSocialPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opOpenSocialPlugin 0.8 (OpenPNE3.0対応) ~

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opOpenSocialPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opFavoritePluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opFavoritePluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opFavoritePlugin 0.8 (OpenPNE3.0対応) ~

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opFavoritePlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opIntroFriendPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opIntroFriendPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opIntroFriendPlugin 0.8 (OpenPNE3.0対応) ~

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opIntroFriendPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

本問題への対応方法

これらの問題への対応方法は次の通りです。

OpenPNE2

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 2.8.11.1
[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]
OpenPNE 2.10.13.2
[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]
OpenPNE 2.12.20.2
[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]
OpenPNE 2.14.7.2
[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

■ 2010/08/11 18:28 追記
OpenPNE2 の全ての対応パッチについて、version.php が変更されない不備があったため、改めてパッチを作り直しました。
18:28 以前にパッチを適用された方は、お手数ですが手動で webapp/version.php にあるOpenPNEのバージョンを変更してください。

マイナーバージョンアップ手順

以下、OpenPNEをそのまま設置したノンカスタマイズ状態のSNSのバージョンアップ手順となります。

1. config.php のバックアップをとります(ダウンロードなど)
2. マイナーバージョンアップする新しいOpenPNEをダウンロードし、現在設置されているSNSと同じ階層のディレクトリに解凍します
3. 1でバックアップをとったconfig.phpを 2 のディレクトリにコピーします
4. 新規設置の手順と同じように、varディレクトリのパーミッションを 777 に変更します
5. 古いOpenPNEのディレクトリの名前を変更し、新しいOpenPNEと置き換えます

例:
【旧】 mysns/
【新】 OpenPNE-2.14.7.1/
↓ディレクトリ名を変更
【旧】 old_mysns/
【新】 mysns/

以上でマイナーバージョンアップは完了です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリ(OPENPNE_DIR)にパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p0 < パッチファイル名

OpenPNE3

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.0.8.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.2.7.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.6.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6beta2
[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

■ 2010/08/11 19:33 追記
OpenPNE3 の全ての対応パッチについて、正しい差分になっていなかったためパッチを作り直しました。
19:33 以前にパッチを適用された方は、お手数ですが一度古いパッチで逆マージを行い変更を取り消した上で、新しいパッチの適用をお願いします。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書をご覧ください。

このドキュメントの手順はマイナーバージョンアップにも有効です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE3 プラグイン

OpenPNE3 本体のマイナーバージョンアップを行うとプラグインのバージョンアップも自動的に行われます。
そのため、バンドルされているプラグインを個別でバージョンアップする必要ありません。
今回対応されたプラグインについて、バンドルされていないバージョンを使用している場合は各プラグインのリリース情報を参考に更新を行ってください。

opIntroFriendPlugin
opIntroFriendPlugin-0.8.0.1
opIntroFriendPlugin-0.9.0.1
opFavoritePlugin
opFavoritePlugin-0.9.0.1
opFavoritePlugin-1.0.0.3
opOpenSocialPlugin
opOpenSocialPlugin-0.8.2.1
opOpenSocialPlugin-0.9.8.1
opOpenSocialPlugin-1.0.3.1
opOpenSocialPlugin-1.2.0.1
opCommunityTopicPlugin
opCommunityTopicPlugin-0.9.7.1
opCommunityTopicPlugin-1.0.0.2

トラックバック:2

ピンバック from Tweets that mention 【緊急リリース】脆弱性対応のお知らせ OpenPNE2 OpenPNE3 opCommunityTopicPlugin opOpenSocialPlugin opFavoritePlugin opIntroFriendPlugin|OpenPNE -- Topsy.com 10-08-11 (水) 17:34

[…] This post was mentioned on Twitter by きわのすけ, pnetan, Shogo Kawahara, きわのすけ, pnetan and others. pnetan said: 【緊急】 OpenPNE2, OpenPNE3 で脆弱性対応の緊急リリースが入りました http://www.openpne.jp/archives/ […]

ピンバック from PNE関西公式サイト | Blog | 【緊急リリース】脆弱性対応のお知らせ OpenPNE2 OpenPNE3 opCommunityTopicPlugin opOpenSocialPlugin opFavoritePlugin opIntroFriendPlugin 10-08-12 (木) 3:16

[…] http://www.openpne.jp/archives/5254/ Twitter Post Short URL http://pne.cc/?1dc9c2 […]

ページの先頭に戻る