オープンソースのSNSエンジン「MyNETS」を開発している、Usagi Projectと、その中のコミュニティ「SNS関西コミュニティ」では、
平成20年11月07日金曜日と翌日08日土曜日に大阪南港ATC ITM棟 6F マーレギャラリーで開催される、
関西オープンフォーラム2008(KOF2008)に出展することとなりました。
MyNETSにご興味のある方、OpenPNE等のSNSエンジンとMyNETSとの違いについて知りたい方、
SNSを運営されている方など、みなさんのご参加をお待ちしています。
場所その他についてはKOFの公式サイトをご覧ください。
概要
MyNETSで利用しているオープンソースの PHP ライブラリ Snoopy に OS コマンドインジェクションの脆弱性が発見されました。
■影響を受けるバージョン
現在、リリースされているすべてのバージョン
MyNETS 1.2.0.1以前
MyNETS 1.1.1+20081020以前
MyNETS 1.1.0+20081020以前
MyNETS 1.0.1+20081020以前
MyNETS 1.0.0+20081020以前
■詳細情報
Snoopy はオープンソースの PHP ライブラリです。Snoopy には入力内容の処理が適正に行われないため、OS コマンドインジェクションの脆弱性が存在します。
■脆弱性がもたらす脅威
悪意のあるSNS登録ユーザに、Webサーバ(PHP)の権限で任意の OS コマンドを実行される可能性があります。
対策方法
MyNETS に含まれる Snoopy.class.php を最新の Snoopy 1.2.4 以降のものにアップデートしてください。
ダウンロード先: http://sourceforge.net/project/showfiles.php?group_id=2091
ファイルの場所は次の通りです。
Usagi/
--lib/
--include/
--Snoopy.class.php
ダウンロードしたファイルを上記のファイルと入れ替えることで脆弱性が修正されます。
■関連情報
■更新履歴
この文書の最新版は、以下のURLより参照できます。
http://usagi-project.org/PRESS/archives/542008.11.04 この脆弱性情報ページを公開しました。
HTML convert time: 0.059 sec. Powered by WordPress ME
