【緊急リリース】2010/11/21以前にリリースされたopOpenSocialPlugin に存在する XSS 脆弱性対応のお知らせ
11 / 22 月曜日 2010
2010年11月21日以前にリリースされた、opOpenSocialPluginには、いくつかの箇所でアプリに関する文字列の処理が正しく行われないことによる XSS脆弱性が存在します。
本日、11月22日(月) に opOpenSocialPlugin の全バージョンに対する緊急リリース を行いましたので、内容を確認の上、各自マイナーバージョンアップ もしくは パッチの適用をお願いします。
本問題について
影響を受けるシステム
- 2010年11月21日以前にリリースされた、すべてのopOpenSocialPlugin かつ アプリを利用している場合 (モバイル向けは対象外です。)
* 現時点でOpenPNE3.0.8, 3.2.7.2, 3.4.9, 3.6beta6 のインストール時に導入される opOpenSocialPluginは、本脆弱性の対応済みのものになります。
概要
opOpenSocialPlugin 内のいくつかの箇所において、アプリに関する文字列の処理が適切におこなわれておらず、閲覧者のブラウザ上で任意のスクリプトが実行可能な状態にありました。
想定される影響
ターゲットとなったSNSに悪意のあるアプリが導入されることにより、閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。
回避方法・対処方法
opOpenSocialPluginを利用していない場合は、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opOpenSocialPlugin」を無効にすることで、この脆弱性の影響を受けなくすることができます。
もしくは、pc版を利用していない場合は、SNS管理画面の「SNS設定」>「一般的な設定」にて「PC利用設定」を「利用しない」にすることにより、この脆弱性の影響を受けなくすることができます。
上の回避方法が取れない場合は、早急にバージョンアップを行って下さい。
対処方法に関しては、本エントリの「対処方法」をご覧ください。
対処方法
マイナーバージョンアップを行うか、patchを適用してください。
opOpenSocialPlugin 0.8.2.1-beta (OpenPNE3.0) 向け
opOpenSocialPlugin 0.8.2.1-beta は OpenPNE3.0.x のインストール時に導入されるバージョンです。
プラグインのマイナーバージョンアップを実行します。
例) OpenPNEのディレクトリで以下を実行します。
$ ./symfony opPlugin:install opOpenSocialPlugin -r 0.8.2.2
$./symfony cc
もしくは plugins/opOpenSocialPlugin に対して patch を適用してください。
$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin0_8_2_1_to0_8_2_2.diff
0.9.9 (OpenPNE3.2, 3.4) 向け
opOpenSocialPlugin 0.9.9 は OpenPNE3.2.x, 3.4.x のインストール時に導入されるバージョンです。
プラグインのマイナーバージョンアップを実行します。
例) OpenPNEのディレクトリで以下を実行します。
$ ./symfony opPlugin:install opOpenSocialPlugin -r 0.9.9.1
$./symfony cc
もしくは plugins/opOpenSocialPlugin に対して以下のpatch を適用してください。
$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin0_9_9to0_9_9_1.diff
1.0.4向け
プラグインのマイナーバージョンアップを実行します。
例) OpenPNEのディレクトリで以下を実行します。
$ ./symfony opPlugin:install opOpenSocialPlugin -r 1.0.4.1
$./symfony cc
もしくは plugins/opOpenSocialPlugin に対して以下のpatch を適用してください。
$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin1_0_4to1_0_4_1.diff
1.2.1 (OpenPNE3.6) 向け
opOpenSocialPlugin 1.2.1 は OpenPNE3.6.x のインストール時に導入されるバージョンです。
プラグインのマイナーバージョンアップを実行します。
例) OpenPNEのディレクトリで以下を実行します。
$ ./symfony opPlugin:install opOpenSocialPlugin -r 1.2.1.1
$./symfony cc
もしくは plugins/opOpenSocialPlugin に対して 以下のpatch を適用してください。
$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin1_2_1to1_2_1_1.diff
1.3.0向け
プラグインのマイナーバージョンアップを実行します。
例) OpenPNEのディレクトリで以下を実行します。
$ ./symfony opPlugin:install opOpenSocialPlugin -r 1.3.0.1
$./symfony cc
もしくは plugins/opOpenSocialPlugin に対して以下のpatch を適用してください。
$ cd plugins/opOpenSocialPlugin
$ patch -p1 < opOpenSocialPlugin1_3_0to1_3_0_1.diff