ブログ

【緊急告知】すべてのバージョンの OpenPNE 3、opOpenSocialPlugin、opWebAPIPlugin における XML 外部実体参照に関する脆弱性対応のお知らせ(2013/09/10)

『OpenPNE 技術サポート』では、OpenPNE プロジェクトでの緊急リリース当日にご契約の皆様へお知らせのメールを送信しております。

2013年9月10日(火)に行われた『すべてのバージョンの OpenPNE 3、opOpenSocialPlugin、opWebAPIPlugin における XML 外部実体参照に関する脆弱性対応のお知らせ』の内容を公開いたします。

以下、メール本文です。

※ 本メールは OpenPNE 技術サポートサービス にご契約いただいた全てのお客様向けに配信しております。

お客様各位

平素より、『OpenPNE 技術サポート』をご利用いただきありがとうございます。
本日(2013/09/10)、OpenPNE プロジェクトにて、OpenPNE 3 および opOpenSocialPlugin、 opWebAPIPlugin における、
 XML 外部実体参照に関する脆弱性の緊急リリースを行いましたので、お知らせいたします。
内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

【影響を受けるシステム】

*以下のバージョンの OpenPNE を使用しているすべてのサイト
OpenPNE 3.8.7
OpenPNE 3.6.11
OpenPNE 3.4.21.1
OpenPNE 3.2.7.6
OpenPNE 3.0.8.5

*以下のバージョンの opOpenSocialPlugin を使用しているすべてのサイト
opOpenSocialPlugin 1.2.6
opOpenSocialPlugin 0.9.13
opOpenSocialPlugin 0.9.9.2
opOpenSocialPlugin 0.8.2.2

*以下のバージョンの opWebAPIPlugin を使用しているすべてのサイト
opWebAPIPlugin 0.5.1
opWebAPIPlugin 0.4.0
opWebAPIPlugin 0.1.0

※PHP が依存する libxml2 のバージョンが 2.9.0 以上である場合」は本脆弱性の影響を受けないため、対応の必要はありません。
お使いの PHP がどのバージョンの libxml2 に依存しているかどうかは、 phpinfo() の情報から確認することができます。

【脆弱性の説明】

XML パーサに存在する XML 外部実体参照の機能を悪用し、特定の形式の XML を OpenPNE やバンドルプラグインに読み込ませることで、
サーバ上の情報の漏洩、サーバのリソースの過度な消費などの問題を引き起こされる可能性があります。

【想定される影響】

この脆弱性をインターネット上の第三者に悪用されることで、サーバ上の情報の漏洩や、サーバのリソースを過度に消費される可能性があります。

【対策方法・回避方法】

*libxml2 側での対応方法
PHP の依存する libxml2 を 2.9.0 以上のものに置き換えることで、本問題への対策となります。
この作業が難しい場合は、以下の「回避方法」もしくは「本問題への対応方法」の手順を実施してください。

*回避方法
「本問題への対応方法」の対応がすぐにおこなえない場合、以下のすべての対策を実施してください。

・opWebAPIPlugin を無効にする
・opOpenSocialPlugin を無効にする
・opAuthOpenIDPlugin を無効にする
・信頼できないプラグインをインストールしない 
 (ただし、これは本脆弱性の有無にかかわらずもともと必須です)

*本問題への対応方法
「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下のURLに掲載の対応方法を実施してください。

【緊急リリース】すべてのバージョンの OpenPNE 3、 opOpenSocialPlugin、 opWebAPIPlugin における XML 外部実体参照に関する脆弱性対応のお知らせ (OPSA-2013-003)
今回の緊急リリースの内容詳細、および対策方法の詳細については 以下OpenPNE公式ページの告知記事を参照ください。
【緊急リリース】すべてのバージョンの OpenPNE 3、 opOpenSocialPlugin、 opWebAPIPlugin における XML 外部実体参照に関する脆弱性対応のお知らせ (OPSA-2013-003)
何かご不明な点などございましたらご連絡ください。 今後ともよろしくお願いいたします。

本ブログでは、今後もお知らせメールの内容を公開する予定です。