水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年3月 > 2010年3月5日(金曜日)

2010年3月5日(金曜日)

Open PNEかんたんログインの脆弱性

公開: 2010年3月13日21時50分頃

Open PNEにかんたんログインの脆弱性があったそうで。

かんたんログイン機能は IP アドレス帯域制限によって、真正な携帯電話からのアクセスに限定しなければ安全に使用することができません。 PC からかんたんログイン機能を使用できる状態にある場合、特定の情報を送信してかんたんログインをおこなうことで、なりすましログインがおこなわれてしまう可能性があります。

かんたんログイン機能の安全性を担保するための OpenPNE の IP アドレス帯域制限には以下の問題があります。そのため、なりすましログインをされる危険性があります。

・OpenPNE 2.14 (OpenPNE 2.13.2 以降) には、特定の操作をおこなうことで、携帯電話の IP アドレス帯域制限を回避されてしまう脆弱性が存在する

・IP アドレス帯域制限機能が OpenPNE 2.10 以降にしか存在しない

・OpenPNE 2.10 以降、 OpenPNE 3.0 以降の IP アドレス帯域制限機能がデフォルトで OFF (使用しない) になっている

携帯電話以外からアクセスされると破綻してしまうという、まさにガラパゴスの話ですね。

「特定の操作を行うことで……回避されてしまう」とありますが、具体的にはどんな操作なのでしょう。Open PNE以外のアプリケーションに影響しない話であれば良いのですが……。

関連する話題: セキュリティ / モバイル

最近の日記

関わった本など