【緊急リリース】OpenPNE携帯版での脆弱性対応版リリースのお知らせ(追記あり)
04 / 03 木曜日 2008
本日(2008/4/3)朝発見されましたOpenPNE携帯版での脆弱性につきまして
・OpenPNE2.4以降の安定版(Ver2.4/2.6/2.8/2.10)および最新開発版(Ver 2.11)の対応バージョンのリリース
・OpenPNEのVer1.8/2.0/2.2/2.4/2.6/2.8/2.10/2.11の対応用パッチの提供
を行いました。
SNS運営者の方はマイナーバージョンアップまたは当パッチの適用をお願いいたします。
■対応バージョン(マイナーバージョンアップ)
2.4.8.1
* ダウンロード(2.4.8.1)
2.6.11.1
* ダウンロード(2.6.11.1)
2.8.10.1
* ダウンロード(2.8.10.1)
2.10.5.1
* ダウンロード(2.10.5.1)
2.11.5.1
* ダウンロード(2.11.5.1)
■対応パッチ
1.8
* パッチファイル(1.8)
2.0
* パッチファイル(2.0)
2.2
* パッチファイル(2.2)
2.4
* パッチファイル(2.4)
2.6
* パッチファイル(2.6)
2.8
* パッチファイル(2.8)
2.10
* パッチファイル(2.10)
2.11
* パッチファイル(2.11)
なお、現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、
応急処置としてSNS管理画面の「SNS設定」で「携帯版使用設定」を「使用不可にする」に設定することで当脆弱性の影響を受けなくすることができます。
【追記:14:25、14:50】
今回の脆弱性の影響範囲について追記いたします。
対象バージョン: OpenPNE 1.8~2.11(2008/04/02までにリリースされたバージョン)
影響範囲: 携帯版を使用しているSNSにおいて、悪意をもったユーザが特定の操作をおこなうことによりSNS登録者の携帯メールアドレスが漏洩してしまう
コメント:3
- mk 08-04-03 (木) 16:42
-
2.10.4を使用しているのですがパッチの当て方がちょっと初めてなんでわかりません。
編集するファイルはわかるんですが下記のソースをそのままソースの最後に張り付けるだけでいいのでしょうか?Index: webapp/modules/ktai/page/o_login2.php
===================================================================
— webapp/modules/ktai/page/o_login2.php
+++ webapp/modules/ktai/page/o_login2.php
@@ -21,9 +21,7 @@
// セッションが有効かどうか
if (!$pre = db_member_c_ktai_address_pre4session($ses)) {
// 無効の場合、login へリダイレクト
– $c_member_secure = db_member_c_member_secure4c_member_id($c_member_id);
– $p = array(‘kad’ => t_encrypt($c_member_secure[‘ktai_address’]));
– openpne_redirect(‘ktai’, ‘page_o_login’, $p);
+ openpne_redirect(‘ktai’, ‘page_o_login’);
}$this->set(‘ses’, $ses);
- no name 08-04-04 (金) 21:54
-
携帯版のIP制限機能をONにしとけば問題なくないですか?
- コレクター 10-06-02 (水) 2:59
-
管理人様、掲示板のスペースをお借り致します。
皆さんの押入れに眠っている、ガン消し、キン消し、ビックリマン等懐かしいグッズを
高値で買い取りさせて頂けませんでしょうか?
(昔のおもちゃなどなんでも買取致します!)
ショップではなく、完全に個人収集を目的としている為、
買い取り価格は普通のリサイクルショップの3倍程度です。
(もちろん査定は無料です!)
持っていてもしょうがない、でも捨てるのは勿体無いと思っている方、
詳しくはHPが御座いますので、是非お越しください。
誠実な対応を心がけておりますので、何卒宜しくお願い申し上げます。http://www7.tok2.com/home/kinkeshicorector/
トラックバック:1
- ピンバック from ネット技術 » OpenPNE その6 10-06-02 (水) 3:41