【緊急リリース】OpenPNE 3.5.2 以降に存在する XSS 脆弱性対応のお知らせ
08 / 18 水曜日 2010
開発版 OpenPNE 3.5.2 以降には、いくつかの箇所においてユーザ入力値の処理が適切におこなわれていないことによる XSS 脆弱性が存在します。
本日(8/18)、この問題の対策版として OpenPNE 3.6beta3 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
なお、安定版としてリリースをおこなっている OpenPNE 3 系(OpenPNE 3.0, OpenPNE 3.2, OpenPNE 3.4)は本問題の影響を受けません。
本問題について
影響を受けるシステム
すべての OpenPNE 3.5.2 から OpenPNE 3.6beta2
概要
OpenPNE 内のいくつかの箇所において、ユーザ入力値の処理が適切におこなわれておらず、閲覧者のブラウザ上で任意のスクリプトが実行可能な状態にありました。
想定される影響
ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。
対策方法・回避方法
本エントリの「本問題への対応方法」をご覧ください。
本問題への回避方法はありません。早急なバージョンアップをお願いいたします。
謝辞
本問題について、 kinugawamasato 様からご報告をいただきました。厚く御礼申し上げます。
本問題への対応方法
OpenPNE 3.5.2 以降を利用しているすべての SNS は、 OpenPNE 3.6beta3 へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.6beta3
- [.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書をご覧ください。
このドキュメントの手順はマイナーバージョンアップにも有効です。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
4. 以下のコマンドを実行します
$ ./symfony openpne:migrate
トラックバック:1
- ピンバック from Tweets that mention 【緊急リリース】OpenPNE 3.5.2 以降に存在する XSS 脆弱性対応のお知らせ|OpenPNE -- Topsy.com 10-08-19 (木) 2:18
-
[…] This post was mentioned on Twitter by Kazuhiro Murota, OpenPNE君, まさとん, 宣伝中止!, きわのすけ and others. きわのすけ said: RT @pnetan: 【緊急】【3.6beta】 開発版OpenPNE3.5.2 以降に存在するXSS脆弱性対応 […]