【脆弱性情報】JVN#20502807: Snoopy における OS コマンドインジェクションの脆弱性 と OpenPNE への影響について(追記あり)
10 / 29 水曜日 2008
昨日(2008/10/28)、JVN(Japan Vulnerability Notes)にて公開された「#20502807 Snoopy における OS コマンドインジェクションの脆弱性」について、 OpenPNE の一部バージョンにおいて影響があることが明らかになりました。
対象:OpenPNE ver1.8~2.6
影響範囲:対象となる OpenPNE を利用するすべてのSNS
当該バージョンをお使いの方は、 「#20502807 Snoopy における OS コマンドインジェクションの脆弱性」 の「対策方法」を参考に、 OpenPNE に存在する以下のライブラリを最新版のものに差し替えてください。
OpenPNE2.3.0 以降のバージョン: lib/include/Snoopy.class.php
OpenPNE2.3.0 未満のバージョン: lib/magpierss/extlib/Snoopy.class.inc (差し替えの際には、最新版のファイル名を Snoopy.class.php から Snoopy.class.inc に変更してください)
※本件については公式SNSの kaz_a さんからご報告いただきました。この場を借りて御礼申し上げます。
【追記:2008/10/31 10:35】
今回の脆弱性の対象となるOpenPNEのバージョンについて追記いたします。OpenPNE2.8以降は Snoopy を利用しなくなったため、 2008/10/31 までにリリースされた OpenPNE2.8〜2.13 は今回の脆弱性の影響を受けません。
そのため対応の必要があるのは、OpenPNE 2.6以前のバージョンのみとなります。