『OpenPNE 技術サポート』では、OpenPNE プロジェクトでの緊急リリース当日にご契約の皆様へお知らせのメールを送信しております。

2013年9月10日(火)に行われた『すべてのバージョンの OpenPNE 3、opOpenSocialPlugin、opWebAPIPlugin における XML 外部実体参照に関する脆弱性対応のお知らせ』の内容を公開いたします。

以下、メール本文です。

※ 本メールは OpenPNE 技術サポートサービス にご契約いただいた全てのお客様向けに配信しております。

お客様各位

平素より、『OpenPNE 技術サポート』をご利用いただきありがとうございます。
本日（2013/09/10）、OpenPNE プロジェクトにて、OpenPNE 3 および opOpenSocialPlugin、 opWebAPIPlugin における、
 XML 外部実体参照に関する脆弱性の緊急リリースを行いましたので、お知らせいたします。
内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

【影響を受けるシステム】

＊以下のバージョンの OpenPNE を使用しているすべてのサイト
OpenPNE 3.8.7
OpenPNE 3.6.11
OpenPNE 3.4.21.1
OpenPNE 3.2.7.6
OpenPNE 3.0.8.5

＊以下のバージョンの opOpenSocialPlugin を使用しているすべてのサイト
opOpenSocialPlugin 1.2.6
opOpenSocialPlugin 0.9.13
opOpenSocialPlugin 0.9.9.2
opOpenSocialPlugin 0.8.2.2

＊以下のバージョンの opWebAPIPlugin を使用しているすべてのサイト
opWebAPIPlugin 0.5.1
opWebAPIPlugin 0.4.0
opWebAPIPlugin 0.1.0

※PHP が依存する libxml2 のバージョンが 2.9.0 以上である場合」は本脆弱性の影響を受けないため、対応の必要はありません。
お使いの PHP がどのバージョンの libxml2 に依存しているかどうかは、 phpinfo() の情報から確認することができます。

【脆弱性の説明】

XML パーサに存在する XML 外部実体参照の機能を悪用し、特定の形式の XML を OpenPNE やバンドルプラグインに読み込ませることで、
サーバ上の情報の漏洩、サーバのリソースの過度な消費などの問題を引き起こされる可能性があります。

【想定される影響】

この脆弱性をインターネット上の第三者に悪用されることで、サーバ上の情報の漏洩や、サーバのリソースを過度に消費される可能性があります。

【対策方法・回避方法】

＊libxml2 側での対応方法
PHP の依存する libxml2 を 2.9.0 以上のものに置き換えることで、本問題への対策となります。
この作業が難しい場合は、以下の「回避方法」もしくは「本問題への対応方法」の手順を実施してください。

＊回避方法
「本問題への対応方法」の対応がすぐにおこなえない場合、以下のすべての対策を実施してください。

・opWebAPIPlugin を無効にする
・opOpenSocialPlugin を無効にする
・opAuthOpenIDPlugin を無効にする
・信頼できないプラグインをインストールしない 
　（ただし、これは本脆弱性の有無にかかわらずもともと必須です）

＊本問題への対応方法
「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下のURLに掲載の対応方法を実施してください。

【緊急リリース】すべてのバージョンの OpenPNE 3、 opOpenSocialPlugin、 opWebAPIPlugin における XML 外部実体参照に関する脆弱性対応のお知らせ (OPSA-2013-003)


今回の緊急リリースの内容詳細、および対策方法の詳細については
以下OpenPNE公式ページの告知記事を参照ください。
【緊急リリース】すべてのバージョンの OpenPNE 3、 opOpenSocialPlugin、 opWebAPIPlugin における XML 外部実体参照に関する脆弱性対応のお知らせ (OPSA-2013-003)


何かご不明な点などございましたらご連絡ください。
今後ともよろしくお願いいたします。

本ブログでは、今後もお知らせメールの内容を公開する予定です。