OpenPNE 開発チームの海老原です。

緊急リリースなどの開発の都合によりリリースが遅れてしまいましたが、昨日 2009/03/12 (金)、開発版 OpenPNE 3.5.0 をリリースしました。

今回のリリースでは、安定版でおこなわれたバグ修正のほか、待望の自動ログイン機能、プラグインインストール、リリース周りの改善、プロフィールページの外部公開機能などの機能追加、改善がおこなわれています。

いくつかの新機能については、今村さんが OpenPNE 3.5.0 の新機能をわかりやすく紹介しているナイスなエントリ、 「今週のOpenPNE3デモサイト委員会 #17 」 を是非ご覧ください！
（※余談ですが、エントリ中で触れられている「プラグインチャンネルサーバー」について、近日中に嬉しいお知らせができると思うので、こちらも楽しみにしていただければと思います）

次のリリースは 2010/03/25 (木) を予定しています。

続きを読む

OpenPNE 開発チームの卜部です。

本日、安定版 OpenPNE 3.4.2 と旧安定版 OpenPNE 3.2.3 をリリースしました。
緊急リリースが何度かあり、開発が遅れることがございましたが、今回は無事予定通りのリリースとなりました。

今回のリリースでは、プロフィール登録周りのバグの修正やバリデーション周りのバグの修正、3.4.x に追加されていたナビゲーションキャッシュのバグフィックスなどが取り込まれています。

次のリリースは 2010/04/08 (木) を予定しています。

バグ修正

• #602: (3.4.2 限定) Display other member’s local navigation sometimes (違うメンバーのローカルナビゲーションが表示されることがある)
• #663, : The session timeout of pc_frontend does not became enabled. (pc_frontendのセッションタイムアウトが有効にならない)
• #637: opValidatorDate with date_time option don’t return time correctly. (opValidatorDateをwith_timeオプション付きで使用したとき時刻が違う値になる)
• #719: After sorted an item name by profile choice list, change of an item name cannot be performed. (プロフィール選択肢一覧で項目名を入れ替えた後に項目名の変更が出来ない)

続きを読む

携帯版を使用している OpenPNE では、かんたんログイン機能の不備により、なりすましがおこなわれてしまう可能性があります。

このエントリでは、本問題についての解説と、 OpenPNE 1.6 〜 OpenPNE 1.8、 OpenPNE 2.0 〜 OpenPNE 2.8、 OpenPNE 2.10 〜 OpenPNE 2.14、 OpenPNE 3.0 〜 OpenPNE 3.4 向けに対応方法の説明をおこないます。

本問題について

影響を受けるシステム:

携帯版を有効にしているすべての OpenPNE 1.6 〜 OpenPNE 1.8, OpenPNE 2, OpenPNE 3

本問題についての説明:

OpenPNE の携帯版には、携帯電話の端末 ID （OpenPNE では「携帯電話個体識別番号」という呼称を使用しています）を使用して、メールアドレスやパスワードの入力をユーザに要求することなくログインをおこなうための、かんたんログイン機能が存在します。
かんたんログイン機能は IP アドレス帯域制限によって、真正な携帯電話からのアクセスに限定しなければ安全に使用することができません。 PC からかんたんログイン機能を使用できる状態にある場合、特定の情報を送信してかんたんログインをおこなうことで、なりすましログインがおこなわれてしまう可能性があります。

かんたんログイン機能の安全性を担保するための OpenPNE の IP アドレス帯域制限には以下の問題があります。そのため、なりすましログインをされる危険性があります。

• ・OpenPNE 2.14 (OpenPNE 2.13.2 以降) には、特定の操作をおこなうことで、携帯電話の IP アドレス帯域制限を回避されてしまう脆弱性が存在する
• ・IP アドレス帯域制限機能が OpenPNE 2.10 以降にしか存在しない
• ・OpenPNE 2.10 以降、 OpenPNE 3.0 以降の IP アドレス帯域制限機能がデフォルトで OFF (使用しない) になっている

想定される影響:

なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更を、なりすましたメンバーの権限でおこなわれてしまう可能性があります。

対策方法・回避方法:

本エントリの「本問題への対応方法」をご覧ください。

掲載されている各対応方法をすぐには実施できない場合、管理画面から「携帯版使用設定」を「使用しない」にすることでこの問題を回避することができます。

謝辞

OpenPNE 2.14 における IP アドレス帯域制限機能回避の脆弱性について、高木浩光氏よりご報告いただきました。厚く御礼申し上げます。

関連情報

JVN#06874657 OpenPNE におけるアクセス制限回避の脆弱性

JVNDB-2010-000006 – JVN iPedia – 脆弱性対策情報データベース

本問題への対応方法

OpenPNE 3.0 〜 OpenPNE 3.4

マイナーバージョンアップもしくは修正パッチの適用を実施してください。
(OpenPNE 3 の修正パッチは patch -p1 < /path/to/patch のようにして当ててください)

OpenPNE 3.0.6.1 :

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.2.1 :

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.1.1 :

[.zip 版ダウンロード] [修正パッチ]

その後、管理画面の SNS 設定を確認し、「携帯電話のIP帯域設定」が「携帯電話のIP帯域をチェックする」になっていない場合は変更してください。

マイナーバージョンアップをしていない環境で、パッチを適用できない場合、携帯電話の IP アドレス帯域リストを更新した上で SNS 設定の「携帯電話のIP帯域設定」を「携帯電話のIP帯域をチェックする」に変更してください。

以下の画像のようになっていれば OK です。

お使いのバージョンの最新版の IP 帯域リストの入手方法は、本エントリの「今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー」に示してあります。

OpenPNE 2.10 〜 OpenPNE 2.14

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 2.10.13.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.12.17.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.14.4.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

ソースコードの入れ替え、もしくは修正パッチの適用をおこなった後、 config.php の CHECK_KTAI_IP の設定が false になっている場合は、以下のように true に設定してください。

define(‘CHECK_KTAI_IP’, true);

OpenPNE 2.12.17 では ソースコードを入れ替えることなく、 config.php の CHECK_KTAI_IP の設定を true に設定する（IP アドレス帯域制限機能を使用するようにする）だけでも効果があります。

マイナーバージョンアップをしていない環境で、パッチを適用できない場合、携帯電話の IP アドレス帯域リストを更新した上で config.php の CHECK_KTAI_IP の設定を true に変更してください。

お使いのバージョンの最新版の IP 帯域リストの入手方法は、本エントリの「今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー」に示してあります。

OpenPNE 2.0 〜 OpenPNE 2.8

OpenPNE 2.0 〜 OpenPNE 2.8 で携帯電話 IP 帯域制限機能を利用するためのパッチを公開します。

OpenPNE 2.0 〜 OpenPNE 2.2 向けのパッチはこちらになります: https://gist.github.com/raw/322468/bb6bbd4c5f59dff51c571b0a32c1752c5cc9320f/openpne2.diff
OpenPNE 2.4 〜 OpenPNE 2.8 向けのパッチはこちらになります: https://gist.github.com/raw/322468/2798c821f82eaa064294eea519407f771ea17714/openpne2.4.diff

今後 IP アドレス帯域リストを更新する場合は、 2.12 向けのリストを使用してください。

このパッチを適用するか、もしくは、 OpenPNE 2.12, OpenPNE 2.14 へのメジャーバージョンアップを実施してください。

OpenPNE 1.6 〜 OpenPNE 1.8

OpenPNE 1.6 〜 OpenPNE 1.8 で携帯電話 IP 帯域制限機能を利用するための .htaccess を公開します。

https://gist.github.com/raw/322468/51e7cdf982a3f4a8f7e322ff5b2b9fbedfa1127b/.htaccess

このファイルを public_html ディレクトリ以下に設置してご利用いただくか、もしくは、 OpenPNE 2.12, OpenPNE 2.14 へのメジャーバージョンアップを実施してください。

今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー

今回、すべての OpenPNE において携帯版の IP アドレス帯域制限をデフォルト ON にするにあたり、各キャリア側の携帯 IP アドレス帯域への対応ポリシーを決定しました。

いままでマイナーバージョンアップに IP アドレス帯域リストの更新を含めていましたが、それとは別に IP アドレス帯域リストのみの単体リリースを実施するようにしていく予定です（本サイトで発表します）。

OpenPNE 2 をお使いの場合は、 webapp/lib/ktaiIP.php を以下から入手できるものに置き換えれば IP 帯域リストを更新できます。

2.10:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.10/ktaiIP.php

2.12:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.12/ktaiIP.php

2.14:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.14/ktaiIP.php

OpenPNE 3 をお使いの場合は、 lib/config/config/mobile_ip_address.yml を以下で発表されるものに置き換えれば IP 帯域リストを更新できます。

3.0:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.0/mobile_ip_address.yml

3.2:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.2/mobile_ip_address.yml

3.4:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.4/mobile_ip_address.yml

OpenPNE開発チームの今村です。

2010/02/25(木) にリリースを予定していた 開発版OpenPNE 3.5.0 ですが、
開発の遅れにより延期することになりました。
ご連絡が遅れましたこと、お詫び申し上げます。

延期後のリリース日につきましては、現在未定となっております。
正確なリリース日が決まり次第、再度ご連絡いたします。

OpenPNE3.5.0の対応項目はこちらをご覧ください。

OpenPNE 3.5.0
http://redmine.openpne.jp/versions/show/35

OpenPNE 開発チームの海老原です。

大変お待たせしました。本日 2009/02/18 (木)、開発版 OpenPNE 3.0.6 をリリースしました。

今回は 53 件もの変更がおこなわれています。 OpenPNE 3.0.x をお使いの方は早めのアップデートをお願いします。

機能追加・機能改善

• trac.openpne.jp:4251 パスワードは６～１２文字で入力しなければいけないということを登録画面・変更画面で表示 (Shogo Kawahara)
• trac.openpne.jp:4053 全角スペースの除去を行うバリデータの作成 (Shogo Kawahara)
• trac.openpne.jp:4054 リクエストのnullバイト除去する仕組みを提供する (Shogo Kawahara)
• trac.openpne.jp:4160 ログイン時のリダイレクト先がサイト内であるかを確認するようにする (Shogo Kawahara)

その他の変更内容については、redmine.openpne.jp のバージョン情報をご覧ください。

バグ修正

• #660: 特定条件下にてメールアドレス設定変更するとエラー発生 (Kousuke Ebihara)
• trac.openpne.jp:4164 プロフィールガジェット設定が出来ない (Shogo Kawahara)
• trac.openpne.jp:4067 SNSから送信されるメールのSubjectに半角カタカナが含まれていた場合に文字化けする (Rimpei Ogawa)
• trac.openpne.jp:4018 PC版のコミュニティホームで参加条件が表示されない (Eitarow Fukamachi)
• #654: インストール時にやたらと時間がかかる (Kousuke Ebihara)

その他の変更内容については、redmine.openpne.jp のバージョン情報をご覧ください。

バージョンアップ・インストール

バージョンアップ

バージョンアップ方法は、OpenPNE3.0 バージョンアップ手順 をご覧ください。

インストール

インストール方法は、同梱の OpenPNE3.0 セットアップ手順 をご覧ください。

ダウンロード・バージョン情報

ダウンロード

http://www.openpne.jp/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

今後の OpenPNE 3.0.x について

昨年 12 月に 今後の OpenPNE 3 のメンテナンスと OpenPNE 3.4 について にて告知したように、 OpenPNE 3.0.x はいままで開発版としてのスタンスを保ってきました。

今回の OpenPNE 3.0.6 の開発によって OpenPNE 3.1 〜 OpenPNE 3.4 でおこなわれた、数々のバグ修正や安定性の向上のための機能改善などの変更が取り込まれ、 OpenPNE 3.0.x 単体の安定性もかなり向上したのではないかと思われます。

そこで、 OpenPNE 3.0.x の開発版扱いは今回の 3.0.6 までとし、次にリリースされる 3.0.7 以降は安定版としてリリースをおこなっていきたいと思います。
今後の 3.0.x では安定性を損なうような大規模な変更や機能追加などは一切おこなわれず、バグ修正のみとなる予定です。

サポート期間

OpenPNE 3 系のリリース規則のお知らせ にて告知したように、OpenPNE 3.0.x は今後偶数月にリリースがおこなわれ、 2010 年 8 月までサポートが続けられます。サポート終了までに OpenPNE 3.4 へのアップグレードをおこなうことを推奨します。

OpenPNE 開発チームの卜部です。

大変お待たせしました。
本日 2010/02/12 (金)、 OpenPNE3 安定版 3.4.1 と 3.2.2 をリリースしました。

これらのバージョンでは主にバグフィックスが含まれています。
また、バンドルしているプラグインで発生していた opAlbumPlugin のバグが修正されたため、対応するバージョンに修正しました。

安定版には機能追加を含めないため、機能追加のある opAlbumPlugin のリリースは含まれていません。

詳しい変更点は OpenPNE 3.2.2 のロードマップ・OpenPNE 3.4.1 のロードマップをご覧ください。

opAlbumPlugin の詳しい変更点は opAlbumPlugin 0.9.2 リリースのお知らせ および opAlbumPlugin 0.9.3 リリースのお知らせ をご覧ください。

バージョンアップ・インストール

OpenPNE 2 からのアップグレード

OpenePNE 2 から OpenPNE-3.4.1 へのアップグレード方法は、同梱の OpenPNE 2 からのアップグレード手順 をご覧ください。

バージョンアップ

3.2.0 以降からの 3.4.1 へのバージョンアップ方法は、OpenPNE 3.4 バージョンアップ手順 をご覧ください。

3.2.x の以前のバージョンから 3.2.2 へのバージョンアップ方法は、OpenPNE 3.2 バージョンアップ手順 をご覧ください。

インストール

OpenPNE 3.4.1 の場合は、同梱の OpenPNE3.4 セットアップ手順 をご覧ください。

OpenPNE 3.2.2 の場合は、同梱の OpenPNE3.2 セットアップ手順 をご覧ください。

ダウンロード・バージョン情報

ダウンロード

http://www.openpne.jp/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

OpenPNE 3.2.2 :redmine.openpne.jp のバージョン情報
OpenPNE 3.4.1 :redmine.openpne.jp のバージョン情報

OpenPNE開発チームのきわです。

2010/02/11(木) にリリースを予定していた 安定版 OpenPNE3.2.2, OpenPNE 3.4.1 ですが、開発の遅れにより延期することになりました。
1日おくれて、 2010/02/12(金) にリリースする予定となります。

OpenPNE3.2.2 , OpenPNE3.4.1の対応項目はこちらをご覧ください。

OpenPNE 3.2.2

http://redmine.openpne.jp/versions/show/38

OpenPNE 3.4.1

http://redmine.openpne.jp/versions/show/39

OpenPNE開発チームの今村です。
本日2010/1/28（木）、安定版 OpenPNE2.14.4 , 旧安定版 OpenPNE2.12.17 をリリースしました。
OpenPNE2系の2010年最初のリリースです。

続きを読む

OpenPNE 開発チームの卜部です。

本日 2010/01/23 (土)、 OpenPNE3 安定版 3.4.0.1 をリリースしました。

バージョン 3.4.0 で追加されたナビゲーションキャッシュの機能が正常に動作せず、リンク先が正しくない問題が発生する不具合がありました。
そのため、急遽このナビゲーションキャッシュ機能を取り消したバージョンを OpenPNE 3.4.0.1 としてリリースします。

バグ修正

• #519: ナビゲーションキャッシュ機能を元に戻す (Shinichi Urabe)

バンドルされるプラグインの追加・更新情報

なし

バージョンアップ・インストール

OpenPNE 2 からのアップグレード

OpenePNE 2 からのアップグレード方法は、同梱の OpenPNE 2 からのアップグレード手順 をご覧ください。

バージョンアップ

3.2.0 以降からのバージョンアップ方法は、OpenPNE 3.4 バージョンアップ手順 をご覧ください。

インストール

インストール方法は、同梱の OpenPNE3.4 セットアップ手順 をご覧ください。

ダウンロード・バージョン情報

ダウンロード

http://www.openpne.jp/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

OpenPNE 開発チームの海老原です。

本日 2010/01/15 (金)、 OpenPNE3 安定版 3.4.0 をリリースしました。

このバージョンでは主に OpenPNE 2 からの移行措置の追加、 OpenPNE 2 との後方互換性を考慮した修正、スキンプラグイン機構の追加、 3.2 時点で含めることのできなかったコア機能の拡充、そしてパフォーマンス改善などがおこなわれています。

詳しい変更点は redmine.openpne.jp のバージョン情報 をご覧ください。

※また、 3.0.5 に含まれていた opIntroFriendPlugin, opRankingPlugin, opFavoritePlugin が 3.4.x にはデフォルトで含まれません。これらのプラグインをお使いの方はプラグイン作者からの告知に従いご自分でインストールをおこなうか、もしくは 3.6.0 以降までお待ちください。

バージョンアップ・インストール

OpenPNE 2 からのアップグレード

OpenePNE 2 からのアップグレード方法は、同梱の OpenPNE 2 からのアップグレード手順 をご覧ください。

バージョンアップ

3.2.0 以降からのバージョンアップ方法は、OpenPNE 3.4 バージョンアップ手順 をご覧ください。

インストール

インストール方法は、同梱の OpenPNE3.4 セットアップ手順 をご覧ください。

ダウンロード・バージョン情報

ダウンロード

http://www.openpne.jp/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報