【緊急リリース】OpenPNE 3.4.21, 3.6.9, 3.8.5 以下の管理画面に存在する XSS 脆弱性対応のお知らせ (OPSA-2013-002)
05 / 08 水曜日 2013
OpenPNE 3.4.21, 3.6.9, 3.8.5 の管理画面にて利用可能な「携帯版配色設定」という機能には XSS 脆弱性が存在します。なお、この「携帯版配色設定」機能を利用していない場合や、携帯版を無効にしている場合でも、同様に本脆弱性の影響を受けることに注意してください。
本日 (5/8)、この問題の対策版として OpenPNE 3.4.21.1, 3.6.9.1, 3.8.5.1 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。
本問題について
影響を受けるシステム
以下のバージョンの OpenPNE (管理画面の「携帯版配色設定」機能を有するバージョン) を使用しているすべてのサイト
- OpenPNE 3.4.21 以下
- OpenPNE 3.6.9 以下
- OpenPNE 3.8.5 以下
※OpenPNE 3.2 系列、 OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。
脆弱性の説明
管理画面の「携帯版配色設定」機能において、ログイン済みの管理者に特定の形式のリクエストを送信させることにより、管理者のブラウザ上で任意のスクリプトを実行されてしまう可能性があります。
想定される影響
管理者のブラウザ上で任意のスクリプトを実行されてしまうことから、たとえば以下のような深刻な影響が考えられます。
- 管理者のセッション ID を窃用されてしまうことによる、管理者へのなりすまし
- 管理画面の各種機能を悪用した SNS 上のコンテンツの改竄
対策方法・回避方法
対応方法については、本エントリの「本問題への対応方法」をご覧ください。
回避方法
後述の根本対応がすぐにおこなえない場合、以下のいずれかひとつ、あるいは両方の対策を実施することで、この問題による影響を一時的に回避することができます。
- こまめに管理画面からログアウトする
- 管理画面にログインしたまま、メールやサイト (SNS 内、外を問わない) に記載された URL やリンクをクリックしない
管理画面を IP アドレス制限、 Basic / Digest 認証、公開鍵認証等によって保護することは、本問題の回避策としてはそれほど有効ではありません。一方で、管理画面のホスト名や、フロントコントローラのスクリプトファイル名 (デフォルトは pc_backend.php) を推測されにくいものに変更することは有効だといえますが、これらはあくまで保険的な回避策であり、いずれにしても前述の 2 つの回避策の実施は必要です。
本問題への対応方法
「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。
OpenPNE 3
対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.8.5.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.6.9.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.4.21.1
- [.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。
各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
謝辞
本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき IPA によって報告がなされ、 JPCERT/CC による調整をしていただきました。
報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。
コメント:1
- 岡田ケンイチ 13-05-13 (月) 10:42
-
パッチが正しく適用されたかどうかの確認方法を教えてください。
トラックバック:1
- ピンバック from XSS Vulnerability in management screen in OpenPNE | Web Security Watch 13-06-24 (月) 21:29
-
[…] References to Advisories, Solutions, and Tools External Source: CONFIRM Name: http://www.openpne.jp/archives/11096/ Type: Advisory; Patch Information Hyperlink: http://www.openpne.jp/archives/11096/ […]