『OpenPNE 技術サポート』では、OpenPNE プロジェクトでの緊急リリース当日にご契約の皆様へお知らせのメールを送信しております。

2012年2月28日におこなわれた opCommunityTopicPlugin の脆弱性対策版緊急リリースのお知らせメールの内容を公開いたします。

opCommunityTopicPlugin 脆弱性対策版リリースについて（2012/2/28）

※ 本メールは OpenPNE 技術サポートサービス にご契約いただいた全てのお客様向けに配信しております。
お客様各位

平素より、『OpenPNE 技術サポート』をご利用いただきありがとうございます。
本日（2012/2/28）、OpenPNE プロジェクトにて緊急リリースをおこないましたので
お知らせいたします。

■ opCommunityTopicPlugin 脆弱性対策版リリースについて（2012/2/28）

本日（2012/2/28）、OpenPNE 3 のバンドルプラグインである
opCommunityTopicPlugin の脆弱性対策版緊急リリースをおこないました。
コミュニティトピック・イベントの脆弱性対策のための
緊急マイナーバージョンアップとなりますので、
下記「影響を受けるシステム」に該当する場合、できる限り早急な対応を
おこなって頂きますようよろしくお願いいたします。

【影響を受けるシステム】
opCommunityTopicPlugin 1.0.3 
(2012/2/28 12:00 まで OpenPNE 3.6.2 にバンドルされていたバージョン)

※ opCommunityTopicPlugin 1.0.2 以下や、
　 OpenPNE 3.4 系にバンドルされている opCommunityTopicPlugin 0.9 系
　 については本脆弱性は存在しません。
※ 2012/2/28 12:00 以降に OpenPNE 3.6.2 をインストールした場合、
　 本脆弱性に対応済みのバージョンが自動的にバンドルされます。

プラグインのバージョンは 管理画面 > プラグイン設定 にて
ご確認いただけます。

【概要】
opCommunityTopicPlugin 1.0.3 には、
コミュニティイベント参加者管理機能において、
識別情報の検証が漏れていたことによる
CSRF (クロスサイトリクエストフォージェリ) 脆弱性が存在します。

【想定される影響】
ログイン済みメンバーが悪意のある URL を読み込んだ場合、
そのメンバーに管理権限のあるコミュニティイベント参加者の追加や
削除がおこなわれてしまう可能性があります。

【対策方法】
「影響をうけるシステム」で示した条件を満たした opCommunityTopicPlugin を
利用しているすべてのSNSは、対策版へのバージョンアップ
を実施してください。

今回の緊急リリースの内容詳細、および対策方法の詳細については
以下OpenPNE公式ページの告知記事を参照ください。
　http://www.openpne.jp/archives/7120/

何かご不明な点などございましたらご連絡ください。
今後ともよろしくお願いいたします。

本ブログでは、今後も緊急リリースの一週間後にお知らせメールの内容を公開する予定です。