MyNETSにおける携帯メールアドレス漏洩の脆弱性
MyNETSにおける携帯メールアドレス漏洩の脆弱性
公開日 2008年 4月3日
最終更新日 2008年 4月 3日
■概要
MyNETSを使用しているSNSにおいて、SNS登録ユーザの携帯メールアドレスが漏洩して
しまう脆弱性が存在することが判明しました。
■影響を受けるバージョン
すべての MyNETS で、携帯利用可能としているサイト。
■詳細情報
悪意のある攻撃者が、特定の操作を行うことにより、SNS登録ユーザの携帯メールアドレス
を取得することが可能となります。
■脆弱性がもたらす脅威
悪意のある攻撃者により、任意のSNS登録ユーザの携帯メールアドレスが知られてしまう
可能性があります。
■対策方法
1. か 2. のいずれかを実施してください。
1. 対応ZIPファイルを次のこちらからダウンロードし、該当ファイル(webapp/modules/ktai/page/o_login2.php)
を上書き更新してください。
2. webapp/modules/ktai/page/o_login2.php の
47行目からの以下ソースを修正
if (!$pre = db_member_c_ktai_address_pre4session($ses)) {
// 無効の場合、login へリダイレクト
$c_member_secure = db_member_c_member_secure4c_member_id($c_member_id);
$p = array(’kad’ => t_encrypt($c_member_secure[’ktai_address’]));
openpne_redirect(’ktai’, ‘page_o_login’, $p);
}
上記を
if (!$pre = db_member_c_ktai_address_pre4session($ses)) {
// 無効の場合、login へリダイレクト
openpne_redirect(’ktai’, ‘page_o_login’);
}
と修正する
■回避策
管理ページより携帯版の使用を停止することで、この脆弱性を回避できますが、
この場合、携帯でのアクセスが利用できなくなります。
■関連情報
OpenPNE携帯版での脆弱性対応版リリースのお知らせ(追記あり)
■更新履歴
2008.04.03 この脆弱性情報ページを公開しました。