OpenPNEからのおしらせ
開発版 OpenPNE 3.9.0 リリースのお知らせ
12 / 20 水曜日 2017
本日、開発版 OpenPNE 3.9.0 をリリースしました。
今回のリリースでは、PHP 7 以降をサポート対象とし追加しました。
これに伴い下記チケットにて修正中です。
- #4176 PEARパッケージのアップデート
- #4177 最低動作環境をPHP5.4以上に変更する
- #4178 LExpress/symfony1 に移行する
- #4179 SimplePie 1.4.3 へのアップデート
- #4151 MySQLのONLY_FULL_GROUP_BYが有効な状態で「日記コメント記入履歴」ガジェットを表示するとエラー
- #4033 MySQLのStrict Modeを有効にした場合に生じる問題を調査
進行状況、詳細は PHP7対応のための修正を行う を参照してください。
また、 OpenPNE 3.9.0 デモサイト が公開されています。
その他の既知の問題
- MySQLのStrict Modeを有効にした場合に生じる問題(sql_mode を空にすることで回避可能)
- Net_IPv4 クラス内で、PHP7 で廃止された関数が使用されている(実際にエラーが発生するかは未確認)
- symfony に対して未適用のパッチが存在する
- 一部のプラグインで opPlugin:install タスクの実行が失敗する(plugins ディレクトリに直接プラグインを追加する場合には影響はない)
- opCommunityTopicPlugin の openpne:migrate が失敗することがある(プラグインを配置後に、openpne:install を実行することで回避可能)
- opUploadFilePlugin でのファイルアップロード時に、アップロード中の画面で止まる(アップロード自体はできている)
- opMessagePluginで、「フレンド申請のメッセージ」を表示しようとすると、500 エラーが発生する(通常のメッセージは表示される)
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
旧安定版 OpenPNE 3.6.29、新安定版 OpenPNE 3.8.26 リリースのお知らせ
12 / 14 木曜日 2017
本日 2017/12/14、旧安定版 OpenPNE 3.6.29 及び 新安定版 OpenPNE 3.8.26 をリリースしました。
今回のリリースでは、「%my_friend%」の翻訳が「%my_friend%まで公開」になっている問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。
また、OpenPNEは、PHP7への対応を進めています。
進行状況は PHP7対応のための修正を行う を参照してください。
次回の OpenPNE のリリースは 2018年03月08日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
[OPSA-2017-002] APIリクエストに含まれる制御文字が適切に除去されない不具合に対する修正
11 / 09 木曜日 2017
本日 (2017/11/09)、OpenPNE に対して次の通りセキュリティリリースを行いました。内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
- OpenPNE 3.8.25.1
- OpenPNE 3.6.28.1
これらのバージョンは、OpenPNE に存在する次の脆弱性に対する修正を含んでいます。
- APIリクエストに含まれる制御文字が適切に除去されない不具合
詳細については以下を参照して下さい。
1. APIリクエストに含まれる制御文字が適切に除去されない不具合
OpenPNE について、API リクエストに含まれる制御文字が適切に除去されない不具合が発見されました。
通常 OpenPNE ではリクエストに含まれる制御文字を事前に除去する処理を行っています。
これは以下のような問題を防ぐための予防的な対策に当たります。
-
PHP には Null バイトを含む文字列によって意図しない挙動を示す関数(バイナリセーフでない関数)が存在することが知られています。この挙動を利用して入力値の検査をすり抜ける攻撃 (Null Byte Attack) は、事前に Null バイトを除去することで防ぐことが可能です。
※ 参考: https://github.com/openpne/OpenPNE3-doc/blob/e955f2ac/secure-coding-guideline/secure-coding-guideline.ja.rst#null-byte-attack -
必須項目であるパラメータに制御文字のみを含む文字列を渡すことによって、通常発生する必須項目のエラーを回避される場合があります。
※ 参考: http://trac.openpne.jp/ticket/1566
これらの対策は、ユーザ画面・管理画面におけるリクエストに対しては既に行われております。
当リリースにおける修正が適用されていない OpenPNE では、API へのリクエストについてのみ上述の対策が適用されない状態となっておりました。
対象となる API:
- opWebAPIPlugin によって提供される API
- JSON API (OpenPNE 3.8 以上)
- その他、URL に /api.php を含む API
想定される影響
現時点で OpenPNE の API リクエストに Null バイト等の制御文字を含めることで脆弱性に繋がる問題は確認されていません。
しかし、通常 OpenPNE では事前に Null バイト等がパラメータから除去されている前提で実装されており、このフィルタが機能しない場合に予期しない影響を及ぼす可能性があります。
そのため、上記の「対象となる API」が有効な SNS においては当リリースにおける修正を適用することを推奨します。
影響を受けるバージョン
- OpenPNE 3.8.25 以下
- OpenPNE 3.6.28 以下
対策方法
今回提供されるアップデートを適用して下さい。この脆弱性についてアップデートを行わずに回避する方法はありません。
アップデート方法
対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.8.25.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.6.28.1
- [.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。
各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
4. 以下のコマンドを実行します
$ ./symfony openpne:migrate
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。
旧安定版 OpenPNE 3.6.28、新安定版 OpenPNE 3.8.25 リリースのお知らせ
09 / 14 木曜日 2017
本日 2017/09/14、旧安定版 OpenPNE 3.6.28 及び 新安定版 OpenPNE 3.8.25 をリリースしました。
今回のリリースでは、メール通知テンプレート設定にて、タイトルが長過ぎる場合にエラーにならず途中で切れて保存されてしまう問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。
また、OpenPNEは、PHP7への対応を進めています。
進行状況は PHP7対応のための修正を行う を参照してください。
次回の OpenPNE のリリースは 2017年12月14日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
旧安定版 OpenPNE 3.6.27、新安定版 OpenPNE 3.8.24 リリースのお知らせ
06 / 07 水曜日 2017
本日 2017/06/08、旧安定版 OpenPNE 3.6.27 及び 新安定版 OpenPNE 3.8.24 をリリースしました。
今回のリリースでは、メンバー登録時にデータが不正な状態になることがある問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。
また、OpenPNEは、PHP7への対応を進めています。
進行状況は PHP7対応のための修正を行う を参照してください。
次回の OpenPNE のリリースは 2017年09月14日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
旧安定版 OpenPNE 3.6.26、新安定版 OpenPNE 3.8.23 リリースのお知らせ
03 / 09 木曜日 2017
本日 2017/03/09、旧安定版 OpenPNE 3.6.26 及び 新安定版 OpenPNE 3.8.23 をリリースしました。
今回のリリースでは、「Web 全体への年齢公開許可設定」を「メンバーの設定を許可しない」に設定しても新規登録時に選択できてしまう問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。
次回の OpenPNE のリリースは 2017年06月08日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
[OPSA-2017-001] SNSメンバー間におけるアクセス制限を回避する脆弱性に対する修正
02 / 09 木曜日 2017
本日 (2017/02/09)、OpenPNE に対して次の通りセキュリティリリースを行いました。内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
- OpenPNE 3.8.22.1
- OpenPNE 3.6.25.1
これらのバージョンは、OpenPNE に存在する次の脆弱性に対する修正を含んでいます。
- SNSメンバー間におけるアクセス制限を回避する脆弱性
各脆弱性の詳細については以下を参照して下さい。
1. SNSメンバー間におけるアクセス制限を回避する脆弱性
OpenPNE について、SNS メンバー間のアクセスブロック設定によるアクセス制限を回避する脆弱性が発見されました。
想定される影響
SNSに登録しているユーザーによって、下記のような操作を行われる可能性があります。
- アクセスブロック機能でアクセスが制限されているメンバーのプロフィール写真一覧 (メイン写真に設定していないものを含む) を閲覧される可能性があります
- アクセスブロック機能でアクセスが制限されているメンバーの参加コミュニティ一覧を閲覧される可能性があります
影響を受けるバージョン
- OpenPNE 3.8.22 以下
- OpenPNE 3.6.25 以下
対策方法
今回提供されるアップデートを適用して下さい。この脆弱性についてアップデートを行わずに回避する方法はありません。
アップデート方法
OpenPNE 3
対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.8.22.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.6.25.1
- [.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。
各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
4. 以下のコマンドを実行します
$ ./symfony openpne:migrate
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。
opUploadFilePlugin 0.9.0 以下 に存在する XSS脆弱性 の修正のお知らせ(OPSA-2016-003)
12 / 15 木曜日 2016
opUploadFilePlugin 0.9.0 以下 には、HTMLファイルに含まれている任意のスクリプトがダウンロード時に実行されてしまう XSS脆弱性が存在します。
この問題の対策版として opUploadFilePlugin 0.9.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
opUploadFilePlugin は、OpenPNE 3.8系 にて利用可能なプラグインであるため、OpenPNE 3.6 系ではこの問題は発生しません。
概要
opUploadFilePlugin 0.9.0 以下 には、HTMLファイルに含まれている任意のスクリプトがダウンロード時に実行されてしまう XSS脆弱性が存在します。
この問題は、Internet Explorer 8 にて実行可能であることが確認されています。
また、Internet Explorer 9 以降、Chrome 最新版、Firefox 最新版 では、この問題が発生しないことが確認されています。
本問題について
影響を受けるシステム
想定される影響
1. 任意のスクリプトを含む HTMLファイル を用意する
2. メンバーA (攻撃者) が opUploadFilePlugin のアップロード機能を使用して 1. の HTML ファイルをアップロードする
3. アップロードが完了するとファイルの共有用 URL が表示されるため、メンバーA (攻撃者) はその URL を他の SNS メンバーが開くように誘導する
4. メンバーB が Internet Explorer 8 を使用してその URL を開くと、ブラウザ標準のファイルダウンロードのダイアログが表示される
5. メンバーB がダイアログの「保存」ではなく「開く」をクリックすると、HTML ファイル内に含まれるスクリプトが実行される
対策方法
本問題への対応方法
「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。
opUploadFilePlugin
プラグインのリリース情報を参考に更新をおこなってください。
-
- opUploadFilePlugin 0.9.1
- [.zip 版ダウンロード] [修正パッチ]
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。
旧安定版 OpenPNE 3.6.25、 新安定版 OpenPNE 3.8.22 リリースのお知らせ
12 / 08 木曜日 2016
本日 2016/12/08、旧安定版 OpenPNE 3.6.25 及び 新安定版 OpenPNE 3.8.22 をリリースしました。
今回のリリースでは、Internet Explorer 11 にてダウンロード時に日本語ファイル名が文字化けする問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。
次回の OpenPNE のリリースは 2017年03月09日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
[OPSA-2016-002] OpenPNEおよび一部ブラグインに存在する複数の脆弱性に対する修正
11 / 10 木曜日 2016
本日 (2016/11/10)、OpenPNE, opTimelinePlugin, opDiaryPlugin, opFavoritePlugin および opWebAPIPlugin に対して次の通りセキュリティリリースを行いました。内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
- OpenPNE 3.8.21.1, OpenPNE 3.6.24.1
- opTimelinePlugin 1.2.6.1
- opDiaryPlugin 1.4.1.1, opDiaryPlugin 1.5.1.1
- opFavoritePlugin 1.0.1.1
- opWebAPIPlugin 0.5.1.2
これらのバージョンは、OpenPNE, opTimelinePlugin, opDiaryPlugin, opFavoritePlugin および opWebAPIPlugin に存在する下記の脆弱性に対する修正を含んでいます。
- SNSメンバー間におけるアクセス制限を回避する脆弱性
- ログイン可能なセッションCookieがOAuthを使用するサードパーティアプリに流出する脆弱性
- IPアドレスに基づくWeb APIへのアクセス制限を回避する脆弱性
- HTTPヘッダインジェクション脆弱性
各脆弱性の詳細については以下を参照して下さい。
1. SNSメンバー間におけるアクセス制限を回避する脆弱性
OpenPNE, opTimelinePlugin, opDiaryPlugin および opFavoritePlugin について、公開範囲設定やコミュニティ参加状態に基づくアクセス制限を回避する脆弱性が発見されました。
想定される影響
SNSに登録しているユーザーによって、下記のような操作を行われる可能性があります。
- JSON API を経由して、自身の参加していないコミュニティにアクティビティを投稿される可能性があります
- 「日記コメント記入履歴」機能を経由して、非公開に設定されている日記のタイトルを閲覧される可能性があります
- 「お気に入り」機能を経由して、アクセスブロック機能でアクセスが制限されているメンバーの日記およびブログのタイトルを閲覧される可能性があります
- アクセスブロック機能でアクセスが制限されているメンバーを「お気に入り」に追加される可能性があります
影響を受けるバージョン
- OpenPNE 3.8.21 以下
- opTimelinePlugin 1.2.6 以下
- opDiaryPlugin 1.4.1 以下 または opDiaryPlugin 1.5.1 以下
- opFavoritePlugin 1.0.1 以下
OpenPNE 3.6.x を使用している場合、上記のバージョンのうちopDiaryPlugin 1.4.1 以下 または opFavoritePlugin 1.0.1 以下 を使用している場合には当脆弱性の影響を受けます。
(opTimelinePlugin および opDiaryPlugin 1.5.x は OpenPNE 3.8.x でのみサポートされています)
対策方法
今回提供されるアップデートを適用して下さい。この脆弱性についてアップデートを行わずに回避する方法はありません。
2. ログイン可能なセッションCookie がOAuth を使用するサードパーティアプリに流出する脆弱性
(OpenPNE に標準で備わる OAuth 機能は https://redmine.openpne.jp/issues/2775 の不具合により使用できない状態となっています。当脆弱性は、独自にパッチを当てる等によりこの不具合を回避している SNS でのみ起こりうるものです。)
OpenPNE には OAuth 1.0a に基づいてサードパーティアプリの認可を行う機構が存在し、opWebAPIPlugin や opOpenSocialPlugin で使用されています。この機構を使用することで、サードパーティアプリが必要とするリソース (メンバーリストや日記など) および権限 (読み込みのみ, 読み書き両方) を SNS ユーザーに呈示し、その範囲内での操作を認可するアクセストークンをサードパーティアプリに発行することができます。
当脆弱性では、サードパーティアプリにアクセストークンを受け渡す際に、認可を行った SNS ユーザーとしてログイン可能なセッション Cookie が意図せず送信されていました。これにより、サードパーティアプリは受け取ったセッション Cookie の値を使用してセッションハイジャックを行うことが可能となり、ユーザーが認可する権限を越えた操作を行われる可能性があります。
想定される影響
第三者によって、流出したセッション Cookie の値を使用してユーザーになりすまされる可能性があります。
影響を受けるバージョン
- OpenPNE 3.6.24 以下 または OpenPNE 3.8.21 以下 (かつ、 https://redmine.openpne.jp/issues/2775 の不具合を独自に回避する修正をしたもの)
対策方法
この脆弱性は下記のいずれかの方法で対策が可能です。
アップデートを適用する (推奨)
今回提供されるアップデートによって修正が行われているため、アップデートを適用することで対策が可能です。
新規アプリケーションの登録を無効化し、既に登録されたアプリケーションを削除する
この手順によって脆弱性を回避する場合、既にSNSに登録されているサードパーティアプリは全て使用できない状態になります。
管理画面のSNS設定 (/pc_backend.php/sns/config?category=general) から「外部サービスとの接続設定の使用設定」を「使用しない」に設定することで、新規のサードパーティアプリの登録を禁止することができます。
さらに、既に登録されているアプリケーションは引き続きアクセストークンの発行が可能な状態となっているため、管理画面の「連携済みアプリケーション一覧」(/pc_backend.php/connection/list) から全てのアプリケーションを削除して下さい。
これらの手順によりアクセストークンの発行自体が行われなくなるため、当脆弱性は生じなくなります。
3. IPアドレスに基づくWeb APIへのアクセス制限を回避する脆弱性
管理画面の「API設定」(/pc_backend.php/opWebAPIPlugin) にて Auth type を IP address に設定している SNS で、許可された IP アドレスから Web API へのアクセスを行った際に意図せずセッション Cookie が発行されていました。
当脆弱性では、そのセッション Cookie の値を使用することで管理者が許可していない IP アドレスからも Web API にアクセスされる可能性があります。
想定される影響
第三者によって、許可されていない IP アドレスから Web API にアクセスされる可能性があります。
影響を受けるバージョン
以下のバージョンを両方とも満たす環境で影響を受けます。
- OpenPNE 3.6.24 以下 または OpenPNE 3.8.21 以下
- opWebAPIPlugin 0.5.1.1 以下
ただし、「API設定」(/pc_backend.php/opWebAPIPlugin) の Auth type に OAuth を選択している SNS、または Auth type に IP address を選択しているが Ip list が空欄となっている SNS は影響を受けません。
対策方法
この脆弱性は下記のいずれかの方法で対策することが可能です。
アップデートを適用する (推奨)
今回提供されるアップデートによって修正が行われているため、アップデートを適用することで対策が可能です。
また、今回のアップデートでは API アクセスにおいて本来発行する必要のないセッション Cookie を抑制するための修正を OpenPNE 本体に対して行っているため、opWebAPIPlugin を使用していない SNS であっても当アップデートを適用することが推奨されます。
opWebAPIPlugin を削除する
opWebAPIPlugin による Web API 機能を使用していない SNS では、opWebAPIPlugin を削除することでも当脆弱性を回避することが可能です。
4. HTTPヘッダインジェクション脆弱性
OpenPNE について、細工された HTTP リクエストを受け取ることで HTTP ヘッダインジェクションを引き起こす脆弱性が発見されました。
当脆弱性は、HTTP リクエストのプロトコルバージョンを表す部分に細工した文字列を含めることによって引き起こされるものです。例として、通常であればリクエストの最初の一行に GET / HTTP/1.1 といった内容が送られるところを GET / Set-Cookie: foo=bar; HTTP/1.1 のように細工した文字列を送ることで任意のヘッダを出力させることが可能となります。
想定される影響
第三者によって、レスポンスヘッダに任意のヘッダを追加される可能性があります。
ただし、上記に記載した GET / Set-Cookie: foo=bar; HTTP/1.1 のような不正な形式のリクエストを Web ブラウザ上で送信させる現実的な手段は確認されておらず、当脆弱性を悪用することは困難であると考えています。
影響を受けるバージョン
- OpenPNE 3.6.24 以下 または OpenPNE 3.8.21 以下
ただし、Lighttpd など一部の HTTP サーバーではプロトコルバージョンに不正な文字列が含まれる場合に 400 Bad Request のレスポンスを返すため、そのような環境においては影響を受けない可能性があります。
対策方法
今回提供されるアップデートを適用して下さい。この脆弱性についてアップデートを行わずに回避する方法はありません。
アップデート方法
OpenPNE 3
対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.8.21.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.6.24.1
- [.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。
各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
4. 以下のコマンドを実行します
$ ./symfony openpne:migrate
OpenPNE プラグイン
OpenPNE 3.6 をご利用の場合は、OpenPNE 3 本体のマイナーバージョンアップをおこなうと opWebAPIPlugin、opFavoritePlugin、opDiaryPlugin のバージョンアップも自動的におこなわれます。
そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。
OpenPNE 3.8 をご利用の場合やバンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。
-
opTimelinePlugin
- opTimelinePlugin 1.2.6.1
- [.zip 版ダウンロード] [修正パッチ]
-
opDiaryPlugin
- opDiaryPlugin 1.4.1.1
- [.zip 版ダウンロード] [修正パッチ]
- opDiaryPlugin 1.5.1.1
- [.zip 版ダウンロード] [修正パッチ]
-
opFavoritePlugin
- opFavoritePlugin 1.0.1.1
- [.zip 版ダウンロード] [修正パッチ]
-
opWebAPIPlugin
- opWebAPIPlugin 0.5.1.2
- [.zip 版ダウンロード] [修正パッチ]
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。