opCalendarPlugin リードメンテナの卜部です。

opCalendarPlugin 0.9.5 をリリースしました。

今回は Google Calendar の連携において OAuth 1.0 のサポートが 4 月 20 日で終了したため、
それに対応するための修正を行いました。

バグ、要望がありましたら、以下のページから作成ください。(チケット作成はRedmineに登録している必要があります。)
・opCalendarPlugin チケット作成

インストールコマンド

$ ./symfony opPlugin:install opCalendarPlugin -r 0.9.5
$ ./symfony openpne:migrate –-target=opCalendarPlugin

インストール後、OAuth 2.0 向けの JSON ファイルを Google Developers Console から取得し 管理画面 (pc_backend.php/opCalendarPlugin) に登録してください。OAuth 1.0 を使っていた場合も新規に JSON ファイルを取得する必要があります。

OAuth 2.0 での対応と同時に行えるようになったこと

• ・一つのプライマリーのカレンダーと紐付けられるのは SNS 内の 1 アカウントとする制限をいれた
• ・Google Calendar 側で削除された場合、SNS 側でも削除を行うようにした
• ・トークンを Revoke できるように改修した (SNS 内の連携しているスケジュール、アクセストークン削除、Google Calendar 側でトークンを無効にする)

続きを読む

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、公開設定に関する複数の不具合が存在します。

本日（2015/04/02）、この問題の対策版として OpenPNE 3.6.18.1、3.8.15.1 および opCommunityTopicPlugin 1.0.5.1、1.1.2.1 および opIntroFriendPlugin 1.0.0.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、下記の公開設定関連の問題が存在していました。

1. 1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
2. 2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
3. 3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
4. 4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
5. 5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

本問題について

影響を受けるシステム

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう

2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう

3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう

4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう

5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

想定される影響

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう

2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう

3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう

4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう

5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.15.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.18.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.15.1 バージョンアップ手順書
• OpenPNE 3.6.18.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

OpenPNE プラグイン

OpenPNE 3.6 をご利用の場合は、OpenPNE 3 本体のマイナーバージョンアップをおこなうと opCommunityTopicPlugin や opIntroFriendPlugin のバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

OpenPNE 3.8 をご利用の場合やバンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

• opCommunityTopicPlugin

  opCommunityTopicPlugin-1.0.5.1

  [.zip 版ダウンロード] [修正パッチ]

  opCommunityTopicPlugin-1.1.2.1

  [.zip 版ダウンロード] [修正パッチ]

• opIntroFriendPlugin

  opIntroFriendPlugin-1.0.0.1

  [.zip 版ダウンロード] [修正パッチ]

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

本日 2013/12/12、opBlogPlugin 1.0.3 をリリースしました。
今回のリリースでは、opBlogPlugin を使用しているメンバーが退会しようとすると500エラーとなる問題を対応いたしました。

続きを読む

OpenPNE 開発チームの今村です。

本日、opTimelinePlugin 1.2.2 をリリースしました。
今回のリリースでは、タイムラインでコメントができなくなってしまう問題を対応いたしました。

続きを読む

OpenPNE 開発チームの今村です。

本日、opTimelinePlugin 1.2.1 をリリースしました。
今回のリリースでは、自分自身とフレンドのタイムラインを表示するガジェットの追加、キャッシュクリア時にタイムラインに投稿した画像がNo Image画像になってしまう問題などを対応いたしました。

続きを読む

すべてのバージョンの OpenPNE 3 および opOpenSocialPlugin、 opWebAPIPlugin には、 XML 外部実体参照に関する脆弱性が存在します。この脆弱性をインターネット上の第三者に悪用されることで、たとえば、サーバ上の情報の漏洩や、サーバのリソースを過度に消費される可能性があります。

本日 (09/10)、この問題の対策版リリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

本問題について

影響を受けるシステム

※以下に示す条件を満たしていたとしても、「PHP が依存する libxml2 のバージョンが 2.9.0 以上である場合」は本脆弱性の影響を受けないため、対応の必要はありません。お使いの PHP がどのバージョンの libxml2 に依存しているかどうかは、 phpinfo() の情報から確認することができます。

以下のバージョンの OpenPNE を使用しているすべてのサイト

• OpenPNE 3.8.7
• OpenPNE 3.6.11
• OpenPNE 3.4.21.1
• OpenPNE 3.2.7.6
• OpenPNE 3.0.8.5

以下のバージョンの opOpenSocialPlugin を使用しているすべてのサイト

• opOpenSocialPlugin 1.2.6
• opOpenSocialPlugin 0.9.13
• opOpenSocialPlugin 0.9.9.2
• opOpenSocialPlugin 0.8.2.2

以下のバージョンの opWebAPIPlugin を使用しているすべてのサイト

• opWebAPIPlugin 0.5.1
• opWebAPIPlugin 0.4.0
• opWebAPIPlugin 0.1.0

脆弱性の説明

XML パーサに存在する XML 外部実体参照の機能を悪用し、特定の形式の XML を OpenPNE やバンドルプラグインに読み込ませることで、サーバ上の情報の漏洩、サーバのリソースの過度な消費などの問題を引き起こされる可能性があります。

脆弱性の生じる機能は以下に示すとおりです。

• OpenPNE 3 の複数の XML パース部分に存在する XXE 脆弱性 (CVE-2013-4333)
  • OpenPNE プラグインセットアップ関連機能
  • opAuthOpenIDPlugin による OpenID 関連機能
    ※OpenPNE 3 コアに同梱された PHP OpenID Library の脆弱性 が原因であるため、 opAuthOpenIDPlugin に対する修正ではなく、 OpenPNE 3 コアに対する修正が必要となります
• opWebAPIPlugin による HTTP リクエスト処理部分に存在する XXE 脆弱性 (CVE-2013-4334)
• opOpenSocialPlugin による OpenSocial 関連機能に存在する XXE 脆弱性 (CVE-2013-4335)

対策方法・回避方法

ソースコード上での対応方法については、本エントリの「本問題への対応方法」をご覧ください。

libxml2 側での対応方法

PHP の依存する libxml2 を 2.9.0 以上のものに置き換えることで、本問題への対策となります。

この作業が難しい場合は、後述する「ソースコード上での対方法」もしくは「回避方法」の手順を実施してください。

回避方法

後述の根本対応がすぐにおこなえない場合、以下のすべての対策を実施してください。

• opWebAPIPlugin を無効にする
• opOpenSocialPlugin を無効にする
• opAuthOpenIDPlugin を無効にする
• 信頼できないプラグインをインストールしない (ただし、これは本脆弱性の有無にかかわらずもともと必須です)

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.7.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.11.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.21.2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.7.7

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.0.8.6

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.7.1 バージョンアップ手順書
• OpenPNE 3.6.11.1 バージョンアップ手順書
• OpenPNE 3.4.21.2 バージョンアップ手順書
• OpenPNE 3.2.7.7 バージョンアップ手順書
• OpenPNE 3.0.8.6 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうと opWebAPIPlugin や opOpenSocialPlugin のバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

バンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

opWebAPIPlugin

opWebAPIPlugin-0.5.1.1

opWebAPIPlugin-0.4.0.1

opWebAPIPlugin-0.1.0.1

opOpenSocialPlugin

opOpenSocialPlugin-1.2.6.1

opOpenSocialPlugin-0.9.13.1

opOpenSocialPlugin-0.9.9.3

opOpenSocialPlugin-0.8.2.3

謝辞

本脆弱性は、海老原昂輔 (co3k) 氏よりご報告いただきました。厚く御礼申し上げます。

なお、 海老原氏によれば、本件のような XML パース処理に関わる脆弱性の概要やプログラム側での対応方法について、 PHP カンファレンス 2013 にて講演する予定とのこと です。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

本日、2013/06/11(火)、opCommunityTopicPlugin 1.0.5をリリースしました。

OpenPNE 3.6 で opCommunityTopicPlugin 1.0.4 以下を使用されている方は、opCommunityTopicPlugin 1.0.5 へのバージョンアップを実施してください。

続きを読む

ドーモ、OpenPNE 開発チームのナカジマです。

2013/06/11(火)、OpenPNE3系向けのプラグイン、opCommunityTopicPlugin 1.0.5がリリースされる予定です。

OpenPNE 3.6 で opCommunityTopicPlugin 1.0.4 以下を使用されている方は、opCommunityTopicPlugin 1.0.5 へのバージョンアップに備えてください。

続きを読む

ドーモ、OpenPNE 開発チームのナカジマです。

2013/05/19(日)、 OpenPNE3系向けのプラグイン、
opHardeningPlugin 1.0.1がリリースされました。

opHardeningPluginは、開発チームのヤバイ級ハッカーである海老原＝サンにより作成された、
現行の OpenPNE 3 に不足している各種セキュリティ対策をカバーするためのプラグインです。
JSONハイジャックやIEにおけるXSSへの対応が主となっています。
このプラグインを導入することにより、あなたの運用するSNSはセキュリティ強度はポイント倍点です。

続きを読む

OpenPNE 開発チームの市川です。

2013/04/04(木)、 OpenPNE3.8系向けのプラグイン、
opTimelinePlugin のバージョン 1.2.0 と、
opLikePluginのバージョン1.2.1をリリースしました。

続きを読む