-オープンソースのSNSエンジン OpenPNEプロジェクト-

OpenPNEからのおしらせ

Home

旧安定版 OpenPNE 3.6.22、新安定版 OpenPNE 3.8.19 リリースのお知らせ

03 / 10 木曜日 2016

本日 2016/03/10、旧安定版 OpenPNE 3.6.22 及び 新安定版 OpenPNE 3.8.19 をリリースしました。

今回のリリースでは、小窓機能を更新しました。
その他、詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2016年06月09日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.6.21、3.8.18 以下 に存在する アクティビティのアクセスブロックに関する複数の脆弱性 の修正のお知らせ(OPSA-2016-001)

02 / 25 木曜日 2016

OpenPNE 3.6.21、3.8.18 以下 には、アクティビティのアクセスブロックに関する複数の脆弱性が存在します。

本日(2016/02/25)、この問題の対策版として OpenPNE 3.6.21.1、3.8.18.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.21、3.8.18 以下 には、下記のアクティビティのアクセスブロックに関する複数の脆弱性が存在していました。

  1. 1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
  2. 2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題

本問題について

影響を受けるシステム

1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
OpenPNE 3.6.21、3.8.18 以下を利用しており、「全員のアクティビティ」ガジェットを利用しているサイト
2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
OpenPNE 3.8.18 以下を利用しているサイト

想定される影響

1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
アクセスブロックを行ったメンバーの投稿をアクセスブロックされているメンバーが閲覧できてしまう。
また、「もっと読む」のリンク先(/member/showAllMemberActivity) でも同様の問題が発生する。
なお、メンバー毎のアクティビティ一覧ページ(/member/showActivity/id/*)ではアクセスブロック設定に応じて正しく表示される。
2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
アクセスブロックを行ったメンバーの投稿をアクセスブロックされているメンバーが閲覧できてしまう。
アクティビティ検索API を利用しているため opTimelinePlugin(すべてのバージョン) でも同様の問題が発生する。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.18.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.21.1
[.zip 版ダウンロード] [修正パッチ]

なお、opTimelinePlugin 自体の更新は必要ありません。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

小窓機能サーバのメンテナンスを行いました

01 / 20 水曜日 2016

下記日程でサーバメンテナンスを行いました。
2016年01月20日(水) 14:00〜15:00
表示が崩れる場合は、ブラウザのキャッシュをクリアしてみてください。

変更点
小窓機能で表示される Amazon の商品情報 についてデザインを変更

現行の Amazon の商品情報
before_cmdamazon

変更後の Amazon の商品情報
after_cmdamazon

Amazon小窓機能の使い方

1. 小窓を表示させたい Amazonの商品ページ に行き、URLをコピーします。
2. コピーした Amazonの商品ページのURL を日記の「本文」欄に貼り付け、日記を書き込みます。
3. Amazon小窓 が日記に表示されます。

Amazon小窓機能は日記以外に、コミュニティトピック、コミュニティイベント、タイムラインでも利用可能です。
ただし、タイムラインに表示させたい場合、URLが長すぎる場合があります。
その場合は、下記の手順で短縮したものを貼り付けてください。
1. 「http://www.amazon.co.jp/」の後ろのスラッシュから「/dp/」の手前までは、書籍名、著者名がエンコードされた文字列なのですべて省く。
2. 「/dp/10桁のコード/」の後ろに続く文字列をすべて省く。

例:
元のURL
http://www.amazon.co.jp/OpenPNE%E3%82%AA%E3%83%95%E3%82%A3%E3%82%B7%E3%83%A3%E3%83%AB%E3%82%AC%E3%82%A4%E3%83%89%E3%83%96%E3%83%83%E3%82%AF-%E4%BC%8A%E8%97%A4-%E5%B9%B8%E5%A4%AB/dp/4839922543/ref=sr_1_4?ie=UTF8&qid=1452239444&sr=8-4&keywords=openpne

短縮後のURL
http://www.amazon.co.jp/dp/4839922543/

Amazon 小窓機能 のデザイン変更にともない、小窓機能サーバのメンテナンスを行います

01 / 08 金曜日 2016

小窓機能で表示される Amazon の商品情報 について、デザインを変更し、下記日程でサーバメンテナンスを行います。
メンテナンス中に小窓機能を使用した場合、一時的に表示されないことがあります。

サーバメンテナンス
2016年01月20日(水) 14:00〜15:00

メンテナンス終了後も表示されない場合は、ブラウザのキャッシュをクリアしてみてください。

現行の Amazon の商品情報
before_cmdamazon

変更後の Amazon の商品情報
after_cmdamazon

Amazon小窓機能の使い方

1. 小窓を表示させたい Amazonの商品ページ に行き、URLをコピーします。
2. コピーした Amazonの商品ページのURL を日記の「本文」欄に貼り付け、日記を書き込みます。
3. Amazon小窓 が日記に表示されます。

Amazon小窓機能は日記以外に、コミュニティトピック、コミュニティイベント、タイムラインでも利用可能です。
ただし、タイムラインに表示させたい場合、URLが長すぎる場合があります。
その場合は、下記の手順で短縮したものを貼り付けてください。
1. 「http://www.amazon.co.jp/」の後ろのスラッシュから「/dp/」の手前までは、書籍名、著者名がエンコードされた文字列なのですべて省く。
2. 「/dp/10桁のコード/」の後ろに続く文字列をすべて省く。

例:
元のURL
http://www.amazon.co.jp/OpenPNE%E3%82%AA%E3%83%95%E3%82%A3%E3%82%B7%E3%83%A3%E3%83%AB%E3%82%AC%E3%82%A4%E3%83%89%E3%83%96%E3%83%83%E3%82%AF-%E4%BC%8A%E8%97%A4-%E5%B9%B8%E5%A4%AB/dp/4839922543/ref=sr_1_4?ie=UTF8&qid=1452239444&sr=8-4&keywords=openpne

短縮後のURL
http://www.amazon.co.jp/dp/4839922543/

携帯電話 IP アドレス帯域リスト リポジトリ変更のご案内

12 / 22 火曜日 2015

携帯電話 IP アドレス帯域リスト のリポジトリを github.com に移動します。

旧リポジトリ: https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/
新リポジトリ: https://github.com/openpne/mobile_ip_list

旧リポジトリは、次回の 携帯電話 IP アドレス帯域リスト の更新発生時までご利用可能です。

svn をご利用の皆様にはご迷惑をおかけしますが、何卒ご理解いただきますよう、よろしくお願いいたします。

旧安定版 OpenPNE 3.6.21、新安定版 OpenPNE 3.8.18 リリースのお知らせ

12 / 10 木曜日 2015

本日 2015/12/10、旧安定版 OpenPNE 3.6.21 及び 新安定版 OpenPNE 3.8.18 をリリースしました。

今回のリリースでは、auのIPアドレス帯域変更に伴いOpenPNEのIPアドレス帯域リストを更新しました。OpenPNEの携帯版を利用している方はSNSに反映お願いします。
詳しくはこちらをご覧ください。
その他、詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2016年3月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下に存在するセッション管理に関する複数の脆弱性の修正のお知らせ(OPSA-2015-002)

10 / 08 木曜日 2015

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、セッション管理に関する複数の脆弱性が存在します。

本日(2015/10/08)、この問題の対策版として OpenPNE 3.6.20.1、3.8.17.1 および opAuthMailAddressPlugin 1.3.5.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

また、opAuthMailAddressPlugin 以外の独自カスタマイズの認証プラグインをご利用の場合も同様の処理を行っている場合がありますので、パッチをダウンロードの上内容をご確認ください。

概要

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、下記のセッション管理に関する複数の脆弱性が存在していました。

  1. 1. 新規登録URLを利用したなりすましログインが可能な問題
  2. 2. セッション破棄の不備

本問題について

影響を受けるシステム

1. 新規登録URLを利用したなりすましログインが可能な問題
OpenPNE 3.6.20、3.8.17 以下を利用しており、認証プラグイン opAuthMailAddressPlugin を有効にしているサイト
セッション破棄の不備
OpenPNE 3.6.20、3.8.17 以下を利用しており、symfony のバージョンが 1.4.17 以下を利用しているサイト

想定される影響

1. 新規登録URLを利用したなりすましログインが可能な問題
登録済みメンバーに紐付く新規登録URLを第三者に取得された場合、通常の認証を経由せずになりすましログインがおこなわれる可能性がある。
なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更をなりすましたメンバーの権限でおこなわれてしまう可能性がある。
2. セッション破棄の不備
SNS画面(PC用・モバイル用)、管理画面 でログアウトを行っても、セッションがサーバ側で破棄されない。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.17.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.20.1
[.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

旧安定版 OpenPNE 3.6.20、新安定版 OpenPNE 3.8.17 リリースのお知らせ

09 / 10 木曜日 2015

本日 2015/9/10、旧安定版 OpenPNE 3.6.20 及び 新安定版 OpenPNE 3.8.17 をリリースしました。

今回のリリースでは、フォームに数値以外を渡した場合に正しくバリデーションが行われない場合があったなどの不具合が修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年12月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

旧安定版 OpenPNE 3.6.19、新安定版 OpenPNE 3.8.16 リリースのお知らせ

06 / 11 木曜日 2015

本日 2015/6/11、旧安定版 OpenPNE 3.6.19 及び 新安定版 OpenPNE 3.8.16 をリリースしました。

今回のリリースでは、プロフィール入力値が空の場合に起こる公開設定の不具合などが修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年9月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 に存在する公開設定関連の修正対応のお知らせ(OPSA-2015-001)

04 / 02 木曜日 2015

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、公開設定に関する複数の不具合が存在します。

本日(2015/04/02)、この問題の対策版として OpenPNE 3.6.18.1、3.8.15.1 および opCommunityTopicPlugin 1.0.5.1、1.1.2.1 および opIntroFriendPlugin 1.0.0.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、下記の公開設定関連の問題が存在していました。

  1. 1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
  2. 2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
  3. 3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
  4. 4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
  5. 5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

本問題について

影響を受けるシステム

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
OpenPNE 3.6.18、3.8.15 以下を利用しており、Web全体に公開しているメンバーにフレンドが存在するサイト
2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
opIntroFriendPlugin 1.0.0 以下を利用しており、Web全体に公開しているメンバーにフレンドが存在するサイト
3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
opCommunityTopicPlugin 1.0.5、1.1.2 以下を利用しているサイト
4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
OpenPNE 3.6.18、3.8.15 以下を利用しているサイト
5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう
OpenPNE 3.6.18、3.8.15 以下を利用しているサイト

想定される影響

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
プロフィールを「Web全体に公開」しているメンバーと、プロフィールを「Web全体に公開」していないメンバーがフレンドの場合、「Web全体に公開」しているプロフィールページのフレンドリストに「Web全体に公開」していないメンバーのプロフィール画像とニックネームが表示されてしまう。
2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
プロフィールを「Web全体に公開」しているメンバーと、プロフィールを「Web全体に公開」していないメンバーがフレンドの場合でプロフィールを「Web全体に公開」しているメンバーに紹介文を書いている場合、「Web全体に公開」しているプロフィールページのフレンドからの紹介文に「Web全体に公開」していないメンバーのプロフィール画像とニックネームが表示されてしまう。
3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
コミュニティトップにて、コミュニティ参加承認待ちのメンバーが閲覧した場合でもコミュニティ書き込みの転送設定が表示されるため、承認待ちメンバーでも書き込み転送設定を「受け取る」にすると、その後のトピックの書き込みを受信できてしまう。
4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう。
5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう
誕生日を非公開設定にしていても、フレンドに対して誕生日メールが送信されてしまう。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.15.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.18.1
[.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

OpenPNE プラグイン

OpenPNE 3.6 をご利用の場合は、OpenPNE 3 本体のマイナーバージョンアップをおこなうと opCommunityTopicPlugin や opIntroFriendPlugin のバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

OpenPNE 3.8 をご利用の場合やバンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

ページの先頭に戻る