本日、OpenPNE2・OpenPNE3 で発覚した複数の脆弱性について対応リリース・パッチの提供をおこないました。
バージョンごとに対応が異なりますので、内容をご確認の上バージョンアップまたはパッチの適用をお願いします。

対応内容

Google マップ 小窓にクロスサイトスクリプティング（XSS）脆弱性

Google マップ 小窓にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。

Google マップ 小窓についての説明は以下をご覧ください。

OpenPNE小窓機能紹介

http://www.openpne.jp/cmd/

小窓の使い方 – Google マップ 小窓

http://www.openpne.jp/cmd/list/#maps.google.co.jp

影響を受けるシステム

Google マップ 小窓を有効にしている全てのOpenPNE2 OpenPNE3

応急処置方法

OpenPNE2

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」＞「CMD設定」にて以下の小窓を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。

• maps.google.co.jp
• maps.google.com
• www.google.co.jp
• www.google.com

OpenPNE3

応急処置方法はありません。早急なバージョンアップをお願いします。

コメント返信補助機能設定にクロスサイトスクリプティング（XSS）脆弱性

コメント返信補助機能にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、閲覧者の個人情報漏洩やなりすましログインを許してしまう可能性があります。

影響を受けるシステム

コメント返信補助機能を有効にしている OpenPNE2.14

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」＞「SNS設定」にて「コメント返信補助機能設定」を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。

OpenPNE3 の複数箇所でクロスサイトリクエストフォージュリ(CSRF)脆弱性

OpenPNE3 の一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

全てのOpenPNE3

応急処置方法

応急処置方法はありません。早急なバージョンアップをお願いします。

opCommunityTopicPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opCommunityTopicPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opCommunityTopicPlugin 0.9 (OpenPNE3.2対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opCommunityTopicPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opOpenSocialPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opOpenSocialPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opOpenSocialPlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opOpenSocialPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opFavoritePluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opFavoritePluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opFavoritePlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opFavoritePlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opIntroFriendPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opIntroFriendPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opIntroFriendPlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opIntroFriendPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

本問題への対応方法

これらの問題への対応方法は次の通りです。

OpenPNE2

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 2.8.11.1

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.10.13.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.12.20.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.14.7.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

■ 2010/08/11 18:28 追記
OpenPNE2 の全ての対応パッチについて、version.php が変更されない不備があったため、改めてパッチを作り直しました。
18:28 以前にパッチを適用された方は、お手数ですが手動で　webapp/version.php にあるOpenPNEのバージョンを変更してください。

マイナーバージョンアップ手順

以下、OpenPNEをそのまま設置したノンカスタマイズ状態のSNSのバージョンアップ手順となります。

1. config.php のバックアップをとります（ダウンロードなど）
2. マイナーバージョンアップする新しいOpenPNEをダウンロードし、現在設置されているSNSと同じ階層のディレクトリに解凍します
3. 1でバックアップをとったconfig.phpを 2 のディレクトリにコピーします
4. 新規設置の手順と同じように、varディレクトリのパーミッションを 777 に変更します
5. 古いOpenPNEのディレクトリの名前を変更し、新しいOpenPNEと置き換えます

例:
【旧】 mysns/
【新】 OpenPNE-2.14.7.1/
↓ディレクトリ名を変更
【旧】 old_mysns/
【新】 mysns/

以上でマイナーバージョンアップは完了です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリ（OPENPNE_DIR）にパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p0 < パッチファイル名

OpenPNE3

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.0.8.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.7.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.6.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6beta2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

■ 2010/08/11 19:33 追記
OpenPNE3 の全ての対応パッチについて、正しい差分になっていなかったためパッチを作り直しました。
19:33 以前にパッチを適用された方は、お手数ですが一度古いパッチで逆マージを行い変更を取り消した上で、新しいパッチの適用をお願いします。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書をご覧ください。

• OpenPNE3.0.8.1
• OpenPNE3.2.7.1
• OpenPNE3.4.6.1
• OpenPNE3.6beta2

このドキュメントの手順はマイナーバージョンアップにも有効です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE3 プラグイン

OpenPNE3 本体のマイナーバージョンアップを行うとプラグインのバージョンアップも自動的に行われます。
そのため、バンドルされているプラグインを個別でバージョンアップする必要ありません。
今回対応されたプラグインについて、バンドルされていないバージョンを使用している場合は各プラグインのリリース情報を参考に更新を行ってください。

opIntroFriendPlugin

opIntroFriendPlugin-0.8.0.1

opIntroFriendPlugin-0.9.0.1

opFavoritePlugin

opFavoritePlugin-0.9.0.1

opFavoritePlugin-1.0.0.3

opOpenSocialPlugin

opOpenSocialPlugin-0.8.2.1

opOpenSocialPlugin-0.9.8.1

opOpenSocialPlugin-1.0.3.1

opOpenSocialPlugin-1.2.0.1

opCommunityTopicPlugin

opCommunityTopicPlugin-0.9.7.1

opCommunityTopicPlugin-1.0.0.2

本日 2010/07/29 に opOpenSocialPluginの最新安定版、 1.2.0のリリースを行ないました。
このリリースはOpenPNE3.6(安定版）のためのものです。

Overview

1.1.3-betaからの改良点

• APIでの絵文字の処置に対する設定を追加
• APIのメンバー取得の速度面での改善

詳しくは、ロードマップを御覧ください。

1.2.0ロードマップ

アップデート・インストール

このバージョンはOpenPNE3.6beta1以降で利用されることを想定しています。

アップデート・インストールを行う場合は必ずデータのバックアップをとって以下の作業を行って下さい。

本リリースをインストールします。

$ ./symfony opPlugin:install -r 1.2.0 opOpenSocialPlugin

$ ./symfony openpne:migrate

最後にキャッシュを削除して下さい。

$ ./symfony cc

さらに、以下の資料に従いセットアップを行って下さい。
http://www.openpne.jp/developer/opensocial/1.2/ja/

今後のリリースについて

opOpenSocialPlugin-1.2.x は、OpenPNE3.6.x のメンテナンス期間と同様のメンテナンス期間とします。

また、次回開発版(1.3.0-beta) では、携帯版OpenSocialの文字コードに関する修正などを入れるつもりです。

バグ報告・リポジトリについて

opOpenSocialPluginに関してのバグ報告は以下で行うことができます。
http://redmine.openpne.jp/projects/plg-open-social/issues/new

ソースコードはGithub上で管理されています。 (本プロジェクトはpull requestを歓迎しており、コラボレーターも募集しています。）

http://github.com/kawahara/opOpenSocialPlugin

ドキュメントや、今後のリリースについては以下で見ることが出来ます。

http://redmine.openpne.jp/projects/plg-open-social/wiki/Wiki

パッケージの直接入手や情報の閲覧は以下で行うことができます。
http://plugins.openpne.jp/package/opOpenSocialPlugin

OpenPNE3向けのブログプラグイン、opBlogPlugin のバージョン 1.0.2 をリリースしました。

今回のリリースでは速度改善の他、
タスク実行に一部メンバーのRSSが更新されない問題の修正が含まれています。
1.0.1をご利用の方はアップデートをお願いします。

変更点

1.0.1 からの変更点

　　　
• #1043: PluginBlogRssCacheTable::getFriendBlogListByMemberId() のフレンド ID 取得処理が非効率[ebihara]
• #1114: タスク実行時の更新処理で、更新されないメンバーがいる。
• #1358: スロークエリ：blog/user の速度改善

変更に関する詳細は バージョン情報 をご覧ください。

アップデート手順

コマンドライン上から opPlugin:install タスクを実行後に openpne:migrate を実行してください。
以上でバージョンアップは完了です。



$ php symfony opPlugin:install -r 1.0.2 opBlogPlugin
$ php symfony openpne:migrate --target=opBlogPlugin

7/14 に OpenPNE3 用の日記プラグイン opDiaryPlugin のバージョン 1.3.1 をリリースしました。

OpenPNE 3.6 系向けの beta 版です。OpenPNE 3.4 系のバージョンでは opDiaryPlugin 1.2.x のバージョンを使ってください。

変更点

v1.3.1 (v1.3.0.1 からの変更点)

http://redmine.openpne.jp/versions/show/91

• #423: アクティビティ更新に対応する
• #1029: デイリーニュース用ガジェットの追加 [Shinichi Urabe]
• #1101: プラグインのテストのみを実行するタスクを追加する
• #1102: テスト用のデータセットにリビジョン番号を付ける
• #1103: ユニットテストを強化する
• #1104: 不要な FileBin の削除処理を取り除く
• #1105: 画像更新時に不要な setFileNamePrefix が呼ばれないようにする
• #1163: 日記のメール投稿機能をON/OFF切り替えられるようにしてほしい
• #1323: モバイル自動リンクに対応 [Shogo Kawahara]
• #1340: デフォルトルール (:module/:action) による URL 生成を減らす
• #1342: dependencies.yml ファイルを追加する
• #1351: 検索結果の取得にopNonCountQueryPagerを使う

アップデート手順

まずは、OpenPNE 本体が 3.6beta1 になっていることを確認してください。
管理画面のフッターを見るかもしくは、コマンドライン上から openpne:version タスクを実行することでバージョンを確認することができます。

opDiaryPlugin のアップデートは、コマンドライン上から opPlugin:install タスクをバージョン指定で実行することにより行ないます。

$ php symfony opPlugin:install -r 1.3.1 opDiaryPlugin
$ php symfony cc

以上でアップデートは完了です。

OpenPNE 開発チームの海老原です。

本日 2010/07/17 (土)、 opCommunityTopicPlugin 1.0.0.1 をリリースしました。

opCommunityTopicPlugin 1.0.0 のリリース直後に発覚した致命的な問題への対応を施したものになります。
（opCommunityTopicPlugin 1.0.0 のパッケージは公開してまもなく削除しました。本エントリでは opCommunityTopicPlugin 1.0.0 の対応内容の紹介もおこないます）

本バージョンは OpenPNE 3.4.0 以上の OpenPNE で利用可能ですが、 OpenPNE 3.4.x では一部使用できない機能の追加が含まれています。また、 DB 構造の変更を伴いますので、アップデートは DB のバックアップを取った上で充分注意しておこなってください。

なお、 OpenPNE 3.2, 3.4 向けにバグ修正のみをおこなったバージョンを改めて別にリリースする予定です。

続きを読む

2010/07/14に opOpenSocialPluginの最新版、 1.1.3-betaおよび
安定版 1.0.3, 0.9.8 のリリースを行ないました。

Overview

開発版での改善・修正

開発版で進行中のモバイル対応周辺の機能変更などが行われました。

• モバイルでの位置情報取得機能
• モバイルでのURL置き換え拡張機能

安定版での修正

パフォーマンスに関わる修正が行われています。

詳しくは、ロードマップを御覧ください。

0.9.8ロードマップ
1.0.3ロードマップ
1.1.3-betaロードマップ

アップデート・インストール

開発版 1.1.3-beta

このバージョンはbeta版で OpenPNE3.5.x以降で利用されることを想定しています。

アップデート・インストールを行う場合は必ずデータのバックアップをとって以下の作業を行って下さい。

本リリースをインストールします。

$ ./symfony opPlugin:install -r 1.1.3 -s beta opOpenSocialPlugin

$ ./symfony openpne:migrate

最後にキャッシュを削除して下さい。

$ ./symfony cc

さらに、以下の資料に従いセットアップを行って下さい。
http://www.openpne.jp/developer/opensocial/1.2/ja/

安定版 1.0.3, 0.9.8

1.0.3は OpenPNE3.4.xで、 0.9.8は OpenPNE3.2.x以上で利用されることを想定しています。

それぞれのバージョンのアップデート・インストールを行う場合は、
アップデート・インストールを行う場合は必ずデータのバックアップをとって以下の作業を行って下さい。

本リリースをインストールします。 (バージョンは 1.0.3 もしくは 0.9.8 を指定します。)

$ ./symfony opPlugin:install -r [バージョン] opOpenSocialPlugin

$ ./symfony openpne:migrate

最後にキャッシュを削除して下さい。

$ ./symfony cc

さらに、以下の資料に従いセットアップを行って下さい。
http://www.openpne.jp/developer/opensocial/1.0/ja/

今後のリリースについて

opOpenSocialPluginの安定版である、1.0.xおよび0.9.xのメンテナンスはOpenPNE3.4.xのメンテナンス期間と同様とします。

また、開発版は次回リリースで 1.2.0 とし、 OpenPNE3.6.x 系統のための安定版とします。

バグ報告・リポジトリについて

opOpenSocialPluginに関してのバグ報告は以下で行うことができます。
http://redmine.openpne.jp/projects/plg-open-social/issues/new

ソースコードはGithub上で管理されています。 (本プロジェクトはpull requestを歓迎しており、コラボレーターも募集しています。）

http://github.com/kawahara/opOpenSocialPlugin

ドキュメントや、今後のリリースについては以下で見ることが出来ます。

http://redmine.openpne.jp/projects/plg-open-social/wiki/Wiki

パッケージの直接入手や情報の閲覧は以下で行うことができます。
http://plugins.openpne.jp/package/opOpenSocialPlugin

OpenPNE3 向けのお気に入りプラグイン、opFavoritePlugin のバージョン 1.0.0.2 をリリースしました。

「退会時にエラーになる」という重大なバグが存在していたため、緊急リリースを行いました。
opFavoritePlugin をご利用の方は至急アップデートすることをおすすめします。

変更点

1.0.0.1 からの変更点

• Bug（バグ） #1196: 退会時にエラーになる

アップデート手順

コマンドライン上から opPlugin:install タスクを実行することでバージョアップすることができます。
今回のバージョンアップでは openpne:migrate をバージョンアップ後に実行する必要があります。

$ php symfony opPlugin:install -r 1.0.0.2 opFavoritePlugin
$ php symfony openpne:migrate --target=opFavoritePlugin

以上でアップデートは完了です。

OpenPNE3向けのランキングプラグイン、opRankingPlugin のバージョン 1.0.0 をリリースしました。

今回のリリースでバグ修正の他、速度・表示改善などが含まれていますので、
0.9.0をご利用の方はバージョンアップを行う事をおすすめします。

変更点

0.9.0 からの変更点

• Bug（バグ） #625: アクセスランキングが取得できない [kawahara]
• Bug（バグ） #893: 左のカラムの一番下の「盛り上がり度No.1コミュニティ」の文字が欠けている [kawahara]
• Bug（バグ） #1047: あしあとプラグインを無効にした場合でも、「アクセス数ランキング」が表示されてしまう [ebihara]
• Bug（バグ） #1118: サイドナビのタイトルが表示しきれていない [nagasawa]
• Enhancement（機能追加・改善） #587: Add routing rule (ルーティングルールの追加） [kawahara]
• Enhancement（機能追加・改善） #614: メンバーの「自己紹介」の表示を改善する [kawahara]
• Enhancement（機能追加・改善） #615: コミュニティ関連ランキングでコミュニティの情報ついての表示を改良する [kawahara]
• Enhancement（機能追加・改善） #619: ランキングの表示をキャッシュできるようにする [kawahara]
• Enhancement（機能追加・改善） #629: 文言変更に対応する [kawahara]

変更に関する詳細は バージョン情報 をご覧ください。

アップデート手順

コマンドライン上から opPlugin:install タスクを実行することでバージョアップすることができます。



$ php symfony opPlugin:install -r 1.0.0 opRankingPlugin
$ php symfony cc

OpenPNE3 用の日記プラグイン opDiaryPlugin のバージョン 1.3.0.1 をリリースしました。

OpenPNE の開発版 3.5 系向けの緊急リリースバージョンです。

「未ログイン時の日記リストにWeb全体に公開されていない日記が表示される」という重大なバグ修正を含んでいますので、OpenPNE の開発版 3.5 系で opDiaryPlugin を使用している場合は至急アップデートすることをおすすめします。

変更点

v1.3.0.1 (v1.2.0 からの変更点)

http://redmine.openpne.jp/versions/show/75

• Bug #429: インフォメーション欄に削除した日記の新着コメントお知らせが残る
• Bug #1094: 未ログイン時の日記リストにWeb全体に公開されていない日記が表示される(OpenPNE 3.5.0以降で発生)
• Enhancement #879: 携帯版の個人の日記一覧で、他人の日記の場合にプロフィール画面へのリンクを表示させたい [Kiwa Sakai]

アップデート手順

コマンドライン上から opPlugin:install タスクをバージョンを指定して実行することでアップデートすることができます。

アップデート後は openpne:migrate タスクを実行する必要があります。

$ php symfony opPlugin:install -r 1.3.0.1 opDiaryPlugin
$ php symfony openpne:migrate --target=opDiaryPlugin

以上でアップデートは完了です。

バージョンの確認方法

OpenPNE 3.5 系では openpne:version というタスクを実行することでコマンドライン上から OpenPNE 本体およびプラグインのバージョンを確認することができます。（管理画面のプラグイン設定からも確認できます）

$ php symfony openpne:version
Core versions:
 OpenPNE                                  3.5.2
 symfony                                  1.4.4
OpenPNE plugin versions:
 opAshiatoPlugin                          0.9.0
 opWebAPIPlugin                           0.4.0
 opActiveTransitionPlugin                 0.3.1
 opAuthMailAddressPlugin                  1.3.0
 opDiaryPlugin                            1.3.0.1
 opMessagePlugin                          0.9.1
 opBlogPlugin                             1.0.1
 opAlbumPlugin                            0.9.4
 opSkinBasicPlugin                        unknown
 opCommunityTopicPlugin                   0.9.7
 opAuthMobileUIDPlugin                    1.0.0
 opAuthOpenIDPlugin                       1.3.0
 opSkinClassicPlugin                      unknown
 opOpenSocialPlugin                       1.1.2

opDiaryPlugin のバージョンが 1.3.0.1 になっていることを確認してください。

昨日、2010/05/16にopOpenSocialPluginの最新版、 1.1.2-betaをリリースしました。

Overview

開発版のみで進行しているモバイル関連のバグの幾つかの修正とAPI周りのバグ修正が行われました。

変更点など

1.1.2ロードマップを御覧下さい。

http://redmine.openpne.jp/versions/show/79

アップデート・インストール

opOpenSocialPlugin1.1.2-beta は OpenPNE 3.5.x-dev 以降での利用を推奨します。

また、このバージョンは開発版です。実際の利用には十分に注意して下さい。

必ずデータのバックアップをとって以下の作業を行って下さい。

本リリースをインストールします。

$ ./symfony opPlugin:install -r 1.1.2 -s beta opOpenSocialPlugin

0.9.x, 1.0.x からのアップデートや新規でインストールした場合は以下を実行します。

$ ./symfony openpne:migrate

最後にキャッシュを削除して下さい。

$ ./symfony cc

さらに、以下の資料に従いセットアップを行って下さい。
http://sandbox.bucyou.dazai.pne.jp/osdoc1_2/docs/setup.html

バグ報告・リポジトリについて

opOpenSocialPluginに関してのバグ報告は以下で行うことができます。
http://redmine.openpne.jp/projects/plg-open-social/issues/new

ソースコードはGithub上で管理されています。

http://github.com/kawahara/opOpenSocialPlugin

ドキュメントや、今後のリリースについては以下で見ることが出来ます。

http://redmine.openpne.jp/projects/plg-open-social/wiki/Wiki

パッケージの直接入手や情報の閲覧は以下で行うことができます。
http://plugins.openpne.jp/package/opOpenSocialPlugin