Usagi Project

MyNETSにおける日記タイトル漏洩の脆弱性

公開日 2008年 5月7日
最終更新日 2008年 5月 7日

■概要
MyNETS を使用している SNS において、ユーザが公開範囲に「マイフレンドまで公開」「公開しない」を指定した日記のタイトルが、SNSメンバーに漏洩してしまう脆弱性が存在することが判明しました。

■影響を受けるバージョン
MyNETS 1.1.1 (2008/02/04版およびそれ以前のバージョン)
※ 1.1.0以前のバージョンにこの脆弱性はありません。

■詳細情報
SNSメンバーが、特定の操作を行うことにより、他のメンバーが(そのメンバーに)公開していない日記のタイトル(タイトルのみで本文は閲覧できません)を閲覧することが可能となります。

■脆弱性がもたらす脅威
ユーザが秘密にしている日記のタイトルが漏洩する可能性があります。

■対策方法
1. か 2. のいずれかを実施してください。

　1.　対応ZIPファイルを次の URL からダウンロードし、該当ファイル(webapp/modules/pc/page/fh_dengon.php)を上書き更新してください。

http://usagi.mynets.jp/download/20080507/Usagi.zip

　2.　webapp/modules/pc/page/fh_dengon.php の87行目からの以下ソース

$list_set = p_fh_diary_list_diary_list4c_member_id($target_c_member_id, 7, 1);

上記を

$list_set = p_fh_diary_list_diary_list4c_member_id($target_c_member_id, 7, 1, $u);

と修正してください。

■謝辞
この脆弱性情報は、下記の方から直接この問題をご報告いただき対応しました。ご協力に感謝します。

ボーカロイドにゃっぽんSNS
赤ちゅん　氏

■更新履歴
2008.05.07 この脆弱性情報ページを公開しました。

Usagi Project は、SNSエンジン「MyNETS」の新しい開発版 MyNETS-1.2.0Nighty-20080506 をリリースいたしました。

---

1.1.1からの変更点

脆弱性の対応

• OpenPNE/MyNETS脆弱性対応

PC 版機能

トップページ

• インフォメーション表示機能(Ajax化)
  • 従来のインフォメーションに加え、インフォメーション項目をリスト式で任意数表示し、その内容をAjaxで取得して表示する機能を追加

• 今日のひとこと機能(Ajax化)

• プロフィール写真上部のふきだしから「今日のひとこと」をAjaxを使用して更新できる機能を追加
  • HTML版フレンドリスト・お気に入りリストにマウスをあわせると、そのフレンド・お気に入りの一言をふきだしで表示する機能を追加
  • 「今日のひとこと」機能の文字数を36文字以下に限定

• プロフィール画像の下のボタンの位置を横並びに変更

ソーシャルマップ

• ソーシャルマップインターフェース変更
  • イメージウィンドウを導入し、イメージウィンドウ・マーカーのインフォウィンドウ・マーカーリストの3つが同期しながら遷移
• ソーシャルマップのイメージウィンドウ内のイメージからのリンクを修正
• Ajaxで取得する情報の閲覧条件を修正

日記・コメント・トピック

• BBCODEを利用しての日記・トピックの入力が可能
  • http://shima3.seesaa.net/
• 日記履歴チェック機能
  • 日記の最終閲覧後、更新されたかをチェックする機能
  • 更新されていると、日記タイトルの横にNEWが表示
• コメントとして付けられたコメントナンバーからその内容をAjaxで取得し、ふきだしで表示する機能を追加（同一日記・同一トピック内）

外部公開日記

• 外部公開日記の日記取得において、会員のニックネームを取得する

コミュニティページ

• コミュニティ・トピックの外部公開機能
• トピック　イベントでの「レスをつける」をアイコンに変更
• イベントの修正で過去日付を入れた際に詳細が引き継がれないバグを修正
• イベントを新規作成したときに公開フラグが引き継がれないバグを修正

レビュー

• Amazon ECS4向けに変更
  • Amazon レビュー機能　テンプレートファイルの修正
  • ダミー画像に対するclass名を変更（ＨＴＭＬ）
  • c_review_categoryのIDをNULLからID番号固定へ変更（insert_sql)

ログイン機能

• カスタマイズログイン画面で利用するlogin.class.phpコンポーネントを追加修正

サイドボックス

• ニュースモジュール
  • ニュースリンクの＆の扱いを修正、Googleニュースタイプ別フィードをAtomに変更
  • ニュースのもっと見るの矢印を変更
  • もっと読む」でニュース一覧が表示
• ログイン前表示の際、新着日記を外部公開日記に限定する処理追加
• ログイン前の表示においては新着日記以外を非表示

携帯版機能

日記・コメント・トピック

• ピック・日記の表示順コントロール機能
  • 「新着順」・「投稿順」・「最初から」表示順位を選択可能
• ディズニーモバイルに対応しました（※UAはSoftBank）
• BBCODEの携帯表示で一部フィルターの順番がおかしいためタグが出ていたバグを修正

ログイン機能

• モバイルのオートログイン判定によるマイページ表示
• セッション変数から携帯アドレスを削除
• モバイルサンプルバナーの追加
• 携帯オートログイン設定を追加（config.php.sample）

h_home

• h_homeの最新コメント履歴でNew及び吹き出しがなかったのを修正

メンバーリスト

• データの累計数保存
• c_membar_dataというテーブルに、会員の投稿数や日記の数、コメントを書いた数などを保存する処理を追加

お知らせ・利用規約変更、HTML 挿入

• 管理画面から、インフォメーション欄に情報を投稿可能
• インフォメーション欄に上記投降した情報が任意数表示可能

SQL

• アルバム管理用テーブルを追加
• 不要なSQLファイルを削除
• セットアップSQLとアップグレードSQLのファイルを整理
• アップグレードSQLのファイル名を1.2.0に変更
• SQLファイルの統合、削除、ファイルの整理
• MySQL4.0のコンバートファイルに、PNEコンバート用PHPファイルが漏れていたのを追加
• セットアップガイド、コンバートガイド、アップグレードガイドを1.2.0に修正

その他機能

• iPodTouch用アイコン表示追加