2010年3月5日(金曜日)
Open PNEかんたんログインの脆弱性
公開: 2010年3月13日21時50分頃
Open PNEにかんたんログインの脆弱性があったそうで。
- JVN#06874657 OpenPNE におけるアクセス制限回避の脆弱性 (jvn.jp)
- 【緊急リリース】携帯版かんたんログインの不備によりなりすましがおこなわれてしまう問題について (www.openpne.jp)
かんたんログイン機能は IP アドレス帯域制限によって、真正な携帯電話からのアクセスに限定しなければ安全に使用することができません。 PC からかんたんログイン機能を使用できる状態にある場合、特定の情報を送信してかんたんログインをおこなうことで、なりすましログインがおこなわれてしまう可能性があります。
かんたんログイン機能の安全性を担保するための OpenPNE の IP アドレス帯域制限には以下の問題があります。そのため、なりすましログインをされる危険性があります。
・OpenPNE 2.14 (OpenPNE 2.13.2 以降) には、特定の操作をおこなうことで、携帯電話の IP アドレス帯域制限を回避されてしまう脆弱性が存在する
・IP アドレス帯域制限機能が OpenPNE 2.10 以降にしか存在しない
・OpenPNE 2.10 以降、 OpenPNE 3.0 以降の IP アドレス帯域制限機能がデフォルトで OFF (使用しない) になっている
携帯電話以外からアクセスされると破綻してしまうという、まさにガラパゴスの話ですね。
「特定の操作を行うことで……回避されてしまう」とありますが、具体的にはどんな操作なのでしょう。Open PNE以外のアプリケーションに影響しない話であれば良いのですが……。
- 「Open PNEかんたんログインの脆弱性」にコメントを書く
- 前(古い): 2010年2月28日(Sunday)のえび日記
- 次(新しい): 2010年3月7日(Sunday)のえび日記
