【活用ガイド】

[English]

JVNDB-2010-000006

OpenPNE におけるアクセス制限回避の脆弱性

概要

OpenPNE には、アクセス制限回避が可能な脆弱性が存在します。

OpenPNE は、オープンソースの SNS (ソーシャルネットワーキングサービス)構築ソフトウェアです。OpenPNE には、携帯版ログイン画面へのアクセスを携帯電話からのみに制限するため、IP アドレス帯域制限機能があります。
OpenPNE には、IP アドレス帯域制限機能の処理に問題があり、アクセス制限回避が可能な脆弱性が存在します。結果として、携帯電話向けのかんたんログイン機能において、なりすましによるログインをされる可能性があります。

上記製品において、携帯版を利用可能にしており、かつ IP アドレス帯域制限機能を有効にしている場合、本脆弱性の影響を受けます。

開発者によると、本脆弱性に類似した別の問題として、OpenPNE 1.6 以降のすべてのバージョンにおいて、IP アドレス帯域制限が実装されていない、もしくは実装されていてもデフォルトで無効となっているという問題が存在するとのことです。この問題について、開発者から対策情報が公開されています。詳しくは開発者が提供する情報をご覧ください。

注) "IP アドレス帯域" は、携帯電話各社が "IP アドレスの範囲" の意味で使用している用語です。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 高木 浩光 氏

CVSS による深刻度 (CVSS とは?)

基本値: 5.8 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし

影響を受けるシステム


OpenPNEプロジェクト
  • OpenPNE 2.13.2 から 2.14.4 まで

想定される影響

遠隔の第三者により、当該製品で管理している情報を閲覧されたり、変更されたりする可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとにアップデートしてください。

[ワークアラウンドを実施する]
開発者が提供する情報をもとにワークアラウンドを実施してください。
ベンダ情報

OpenPNEプロジェクト
  • OpenPNE プロジェクト : 4612
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 認可・権限・アクセス制御(CWE-264) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-1040
参考情報

  1. JVN : JVN#06874657
  2. National Vulnerability Database (NVD) : CVE-2010-1040
  3. IPA セキュリティセンター 注意喚起 : 「OpenPNE」におけるセキュリティ上の弱点(脆弱性)の注意喚起
  4. Secunia Advisory : SA38857
更新履歴

[2010年03月05日]
  掲載
[2010年03月11日]
  CVSSによる深刻度:基本値および基本評価基準を修正