【緊急リリース】OpenPNE携帯版での脆弱性対応版リリースのお知らせ(追記あり)
04 / 03 木曜日 2008
本日(2008/4/3)朝発見されましたOpenPNE携帯版での脆弱性につきまして
・OpenPNE2.4以降の安定版(Ver2.4/2.6/2.8/2.10)および最新開発版(Ver 2.11)の対応バージョンのリリース
・OpenPNEのVer1.8/2.0/2.2/2.4/2.6/2.8/2.10/2.11の対応用パッチの提供
を行いました。
SNS運営者の方はマイナーバージョンアップまたは当パッチの適用をお願いいたします。
■対応バージョン(マイナーバージョンアップ)
2.4.8.1
* ダウンロード(2.4.8.1)
2.6.11.1
* ダウンロード(2.6.11.1)
2.8.10.1
* ダウンロード(2.8.10.1)
2.10.5.1
* ダウンロード(2.10.5.1)
2.11.5.1
* ダウンロード(2.11.5.1)
■対応パッチ
1.8
* パッチファイル(1.8)
2.0
* パッチファイル(2.0)
2.2
* パッチファイル(2.2)
2.4
* パッチファイル(2.4)
2.6
* パッチファイル(2.6)
2.8
* パッチファイル(2.8)
2.10
* パッチファイル(2.10)
2.11
* パッチファイル(2.11)
なお、現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、
応急処置としてSNS管理画面の「SNS設定」で「携帯版使用設定」を「使用不可にする」に設定することで当脆弱性の影響を受けなくすることができます。
【追記:14:25、14:50】
今回の脆弱性の影響範囲について追記いたします。
対象バージョン: OpenPNE 1.8~2.11(2008/04/02までにリリースされたバージョン)
影響範囲: 携帯版を使用しているSNSにおいて、悪意をもったユーザが特定の操作をおこなうことによりSNS登録者の携帯メールアドレスが漏洩してしまう
編集するファイルはわかるんですが下記のソースをそのままソースの最後に張り付けるだけでいいのでしょうか?
Index: webapp/modules/ktai/page/o_login2.php
===================================================================
--- webapp/modules/ktai/page/o_login2.php
+++ webapp/modules/ktai/page/o_login2.php
@@ -21,9 +21,7 @@
// セッションが有効かどうか
if (!$pre = db_member_c_ktai_address_pre4session($ses)) {
// 無効の場合、login へリダイレクト
- $c_member_secure = db_member_c_member_secure4c_member_id($c_member_id);
- $p = array('kad' => t_encrypt($c_member_secure['ktai_address']));
- openpne_redirect('ktai', 'page_o_login', $p);
+ openpne_redirect('ktai', 'page_o_login');
}
$this->set('ses', $ses);
皆さんの押入れに眠っている、ガン消し、キン消し、ビックリマン等懐かしいグッズを
高値で買い取りさせて頂けませんでしょうか?
(昔のおもちゃなどなんでも買取致します!)
ショップではなく、完全に個人収集を目的としている為、
買い取り価格は普通のリサイクルショップの3倍程度です。
(もちろん査定は無料です!)
持っていてもしょうがない、でも捨てるのは勿体無いと思っている方、
詳しくはHPが御座いますので、是非お越しください。
誠実な対応を心がけておりますので、何卒宜しくお願い申し上げます。http://www7.tok2.com/home/kinkeshicorector/