em {
font-weight: normal;
text-decoration: underline;
}

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、公開設定に関する複数の不具合が存在します。

本日（2015/04/02）、この問題の対策版として OpenPNE 3.6.18.1、3.8.15.1 および opCommunityTopicPlugin 1.0.5.1、1.1.2.1 および opIntroFriendPlugin 1.0.0.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、下記の公開設定関連の問題が存在していました。

1. 1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
2. 2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
3. 3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
4. 4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
5. 5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

本問題について

影響を受けるシステム

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう

OpenPNE 3.6.18、3.8.15 以下を利用しており、Web全体に公開しているメンバーにフレンドが存在するサイト

2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう

opIntroFriendPlugin 1.0.0 以下を利用しており、Web全体に公開しているメンバーにフレンドが存在するサイト

3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう

opCommunityTopicPlugin 1.0.5、1.1.2 以下を利用しているサイト

4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう

OpenPNE 3.6.18、3.8.15 以下を利用しているサイト

5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

OpenPNE 3.6.18、3.8.15 以下を利用しているサイト

想定される影響

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう

プロフィールを「Web全体に公開」しているメンバーと、プロフィールを「Web全体に公開」していないメンバーがフレンドの場合、「Web全体に公開」しているプロフィールページのフレンドリストに「Web全体に公開」していないメンバーのプロフィール画像とニックネームが表示されてしまう。

2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう

プロフィールを「Web全体に公開」しているメンバーと、プロフィールを「Web全体に公開」していないメンバーがフレンドの場合でプロフィールを「Web全体に公開」しているメンバーに紹介文を書いている場合、「Web全体に公開」しているプロフィールページのフレンドからの紹介文に「Web全体に公開」していないメンバーのプロフィール画像とニックネームが表示されてしまう。

3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう

コミュニティトップにて、コミュニティ参加承認待ちのメンバーが閲覧した場合でもコミュニティ書き込みの転送設定が表示されるため、承認待ちメンバーでも書き込み転送設定を「受け取る」にすると、その後のトピックの書き込みを受信できてしまう。

4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう

特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう。

5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

誕生日を非公開設定にしていても、フレンドに対して誕生日メールが送信されてしまう。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.15.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.18.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.15.1 バージョンアップ手順書
• OpenPNE 3.6.18.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

OpenPNE プラグイン

OpenPNE 3.6 をご利用の場合は、OpenPNE 3 本体のマイナーバージョンアップをおこなうと opCommunityTopicPlugin や opIntroFriendPlugin のバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

OpenPNE 3.8 をご利用の場合やバンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

• opCommunityTopicPlugin

  opCommunityTopicPlugin-1.0.5.1

  [.zip 版ダウンロード] [修正パッチ]

  opCommunityTopicPlugin-1.1.2.1

  [.zip 版ダウンロード] [修正パッチ]

• opIntroFriendPlugin

  opIntroFriendPlugin-1.0.0.1

  [.zip 版ダウンロード] [修正パッチ]

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。