本日、OpenPNEの脆弱性が発表され、対応バージョンがリリースされました。
【緊急リリース】脆弱性対応のお知らせ OpenPNE2 OpenPNE3 opCommunityTopicPlugin opOpenSocialPlugin opFavoritePlugin opIntroFriendPlugin
本日、OpenPNE2・OpenPNE3 で発覚した複数の脆弱性について対応リリース・パッチの提供をおこないました。
バージョンごとに対応が異なりますので、内容をご確認の上バージョンアップまたはパッチの適用をお願いします。
自分が管理しているSNSのOpenPNEは2.12系と2.14系、そして3.4系なので2系はpatchを当てて、3.4系はバージョンアップ作業を行いました。ちなみに、2.12系と2.14系、3系では脆弱性の範囲が違っているようです。
2系、3系に共通で影響がある部分は下記の項目です。
Google マップ 小窓にクロスサイトスクリプティング(XSS)脆弱性
Google マップ 小窓にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。
Google マップ 小窓についての説明は以下をご覧ください。
OpenPNE小窓機能紹介
http://www.openpne.jp/cmd/
小窓の使い方 - Google マップ 小窓
http://www.openpne.jp/cmd/list/#maps.google.co.jp影響を受けるシステム
Google マップ 小窓を有効にしている全てのOpenPNE2 OpenPNE3応急処置方法
OpenPNE2
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」>「CMD設定」にて以下の小窓を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。maps.google.co.jp
maps.google.com
www.google.co.jp
www.google.comOpenPNE3
応急処置方法はありません。早急なバージョンアップをお願いします。
この機能はみんなフツーに使ってますよね、便利だし。2系では、バージョンアップ以外でも対応可能ですけど、バージョンアップしておいた方がよいですね。
そして、2.14系に影響がある部分は下記のもの。
コメント返信補助機能設定にクロスサイトスクリプティング(XSS)脆弱性
コメント返信補助機能にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、閲覧者の個人情報漏洩やなりすましログインを許してしまう可能性があります。
影響を受けるシステム
コメント返信補助機能を有効にしている OpenPNE2.14応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」>「SNS設定」にて「コメント返信補助機能設定」を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。
コメント返信補助機能ってなんだろう? と思いましたが、管理画面を見てみると
コメント返信補助機能設定:コメント入力欄に返信したいコメント番号とニックネームを挿入できる機能を使用するかどうかを設定します
へー、この機能便利だ。「使用しない」に設定されていましたが、バージョンアップを機に「使用する」に設定してみました。
で、以降はOpenPNE3系で影響の受ける内容です。
OpenPNE3 の複数箇所でクロスサイトリクエストフォージュリ(CSRF)脆弱性
OpenPNE3 の一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
全てのOpenPNE3応急処置方法
応急処置方法はありません。早急なバージョンアップをお願いします。-----
opCommunityTopicPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性
opCommunityTopicPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
opCommunityTopicPlugin 0.9 (OpenPNE3.2対応) ~応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opCommunityTopicPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。-----
opOpenSocialPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性
opOpenSocialPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
opOpenSocialPlugin 0.8 (OpenPNE3.0対応) ~応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opOpenSocialPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。-----
opFavoritePluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性
opFavoritePluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
opFavoritePlugin 0.8 (OpenPNE3.0対応) ~応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opFavoritePlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。-----
opIntroFriendPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性
opIntroFriendPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
opIntroFriendPlugin 0.8 (OpenPNE3.0対応) ~応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opIntroFriendPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。
ちなみに私は2系はpatchを当てて、3系はバージョンアップで対応しました。現時点で、問題なく稼働しています。XSSやCSRFの問題は怖い問題なので、早急な対応をオススメします。