-オープンソースのSNSエンジン OpenPNEプロジェクト-

OpenPNE リリース情報

Home

OpenPNE 3.6.21、3.8.18 以下 に存在する アクティビティのアクセスブロックに関する複数の脆弱性 の修正のお知らせ(OPSA-2016-001)

02 / 25 木曜日 2016

OpenPNE 3.6.21、3.8.18 以下 には、アクティビティのアクセスブロックに関する複数の脆弱性が存在します。

本日(2016/02/25)、この問題の対策版として OpenPNE 3.6.21.1、3.8.18.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.21、3.8.18 以下 には、下記のアクティビティのアクセスブロックに関する複数の脆弱性が存在していました。

  1. 1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
  2. 2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題

本問題について

影響を受けるシステム

1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
OpenPNE 3.6.21、3.8.18 以下を利用しており、「全員のアクティビティ」ガジェットを利用しているサイト
2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
OpenPNE 3.8.18 以下を利用しているサイト

想定される影響

1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
アクセスブロックを行ったメンバーの投稿をアクセスブロックされているメンバーが閲覧できてしまう。
また、「もっと読む」のリンク先(/member/showAllMemberActivity) でも同様の問題が発生する。
なお、メンバー毎のアクティビティ一覧ページ(/member/showActivity/id/*)ではアクセスブロック設定に応じて正しく表示される。
2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
アクセスブロックを行ったメンバーの投稿をアクセスブロックされているメンバーが閲覧できてしまう。
アクティビティ検索API を利用しているため opTimelinePlugin(すべてのバージョン) でも同様の問題が発生する。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.18.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.21.1
[.zip 版ダウンロード] [修正パッチ]

なお、opTimelinePlugin 自体の更新は必要ありません。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

旧安定版 OpenPNE 3.6.21、新安定版 OpenPNE 3.8.18 リリースのお知らせ

12 / 10 木曜日 2015

本日 2015/12/10、旧安定版 OpenPNE 3.6.21 及び 新安定版 OpenPNE 3.8.18 をリリースしました。

今回のリリースでは、auのIPアドレス帯域変更に伴いOpenPNEのIPアドレス帯域リストを更新しました。OpenPNEの携帯版を利用している方はSNSに反映お願いします。
詳しくはこちらをご覧ください。
その他、詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2016年3月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下に存在するセッション管理に関する複数の脆弱性の修正のお知らせ(OPSA-2015-002)

10 / 08 木曜日 2015

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、セッション管理に関する複数の脆弱性が存在します。

本日(2015/10/08)、この問題の対策版として OpenPNE 3.6.20.1、3.8.17.1 および opAuthMailAddressPlugin 1.3.5.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

また、opAuthMailAddressPlugin 以外の独自カスタマイズの認証プラグインをご利用の場合も同様の処理を行っている場合がありますので、パッチをダウンロードの上内容をご確認ください。

概要

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、下記のセッション管理に関する複数の脆弱性が存在していました。

  1. 1. 新規登録URLを利用したなりすましログインが可能な問題
  2. 2. セッション破棄の不備

本問題について

影響を受けるシステム

1. 新規登録URLを利用したなりすましログインが可能な問題
OpenPNE 3.6.20、3.8.17 以下を利用しており、認証プラグイン opAuthMailAddressPlugin を有効にしているサイト
セッション破棄の不備
OpenPNE 3.6.20、3.8.17 以下を利用しており、symfony のバージョンが 1.4.17 以下を利用しているサイト

想定される影響

1. 新規登録URLを利用したなりすましログインが可能な問題
登録済みメンバーに紐付く新規登録URLを第三者に取得された場合、通常の認証を経由せずになりすましログインがおこなわれる可能性がある。
なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更をなりすましたメンバーの権限でおこなわれてしまう可能性がある。
2. セッション破棄の不備
SNS画面(PC用・モバイル用)、管理画面 でログアウトを行っても、セッションがサーバ側で破棄されない。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.17.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.20.1
[.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

旧安定版 OpenPNE 3.6.20、新安定版 OpenPNE 3.8.17 リリースのお知らせ

09 / 10 木曜日 2015

本日 2015/9/10、旧安定版 OpenPNE 3.6.20 及び 新安定版 OpenPNE 3.8.17 をリリースしました。

今回のリリースでは、フォームに数値以外を渡した場合に正しくバリデーションが行われない場合があったなどの不具合が修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年12月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

旧安定版 OpenPNE 3.6.19、新安定版 OpenPNE 3.8.16 リリースのお知らせ

06 / 11 木曜日 2015

本日 2015/6/11、旧安定版 OpenPNE 3.6.19 及び 新安定版 OpenPNE 3.8.16 をリリースしました。

今回のリリースでは、プロフィール入力値が空の場合に起こる公開設定の不具合などが修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年9月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

opCalendarPlugin 0.9.5 リリースのお知らせ

04 / 24 金曜日 2015

opCalendarPlugin リードメンテナの卜部です。

opCalendarPlugin 0.9.5 をリリースしました。

今回は Google Calendar の連携において OAuth 1.0 のサポートが 4 月 20 日で終了したため、
それに対応するための修正を行いました。

バグ、要望がありましたら、以下のページから作成ください。(チケット作成はRedmineに登録している必要があります。)
opCalendarPlugin チケット作成

インストールコマンド

$ ./symfony opPlugin:install opCalendarPlugin -r 0.9.5
$ ./symfony openpne:migrate –-target=opCalendarPlugin

インストール後、OAuth 2.0 向けの JSON ファイルを Google Developers Console から取得し 管理画面 (pc_backend.php/opCalendarPlugin) に登録してください。OAuth 1.0 を使っていた場合も新規に JSON ファイルを取得する必要があります。

OAuth 2.0 での対応と同時に行えるようになったこと

  • ・一つのプライマリーのカレンダーと紐付けられるのは SNS 内の 1 アカウントとする制限をいれた
  • ・Google Calendar 側で削除された場合、SNS 側でも削除を行うようにした
  • ・トークンを Revoke できるように改修した (SNS 内の連携しているスケジュール、アクセストークン削除、Google Calendar 側でトークンを無効にする)

続きを読む

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 に存在する公開設定関連の修正対応のお知らせ(OPSA-2015-001)

04 / 02 木曜日 2015

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、公開設定に関する複数の不具合が存在します。

本日(2015/04/02)、この問題の対策版として OpenPNE 3.6.18.1、3.8.15.1 および opCommunityTopicPlugin 1.0.5.1、1.1.2.1 および opIntroFriendPlugin 1.0.0.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、下記の公開設定関連の問題が存在していました。

  1. 1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
  2. 2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
  3. 3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
  4. 4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
  5. 5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

本問題について

影響を受けるシステム

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
OpenPNE 3.6.18、3.8.15 以下を利用しており、Web全体に公開しているメンバーにフレンドが存在するサイト
2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
opIntroFriendPlugin 1.0.0 以下を利用しており、Web全体に公開しているメンバーにフレンドが存在するサイト
3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
opCommunityTopicPlugin 1.0.5、1.1.2 以下を利用しているサイト
4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
OpenPNE 3.6.18、3.8.15 以下を利用しているサイト
5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう
OpenPNE 3.6.18、3.8.15 以下を利用しているサイト

想定される影響

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
プロフィールを「Web全体に公開」しているメンバーと、プロフィールを「Web全体に公開」していないメンバーがフレンドの場合、「Web全体に公開」しているプロフィールページのフレンドリストに「Web全体に公開」していないメンバーのプロフィール画像とニックネームが表示されてしまう。
2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
プロフィールを「Web全体に公開」しているメンバーと、プロフィールを「Web全体に公開」していないメンバーがフレンドの場合でプロフィールを「Web全体に公開」しているメンバーに紹介文を書いている場合、「Web全体に公開」しているプロフィールページのフレンドからの紹介文に「Web全体に公開」していないメンバーのプロフィール画像とニックネームが表示されてしまう。
3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
コミュニティトップにて、コミュニティ参加承認待ちのメンバーが閲覧した場合でもコミュニティ書き込みの転送設定が表示されるため、承認待ちメンバーでも書き込み転送設定を「受け取る」にすると、その後のトピックの書き込みを受信できてしまう。
4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう。
5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう
誕生日を非公開設定にしていても、フレンドに対して誕生日メールが送信されてしまう。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.15.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.18.1
[.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

OpenPNE プラグイン

OpenPNE 3.6 をご利用の場合は、OpenPNE 3 本体のマイナーバージョンアップをおこなうと opCommunityTopicPlugin や opIntroFriendPlugin のバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

OpenPNE 3.8 をご利用の場合やバンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

旧安定版 OpenPNE 3.6.18、新安定版 OpenPNE 3.8.15 リリースのお知らせ

03 / 12 木曜日 2015

本日 2015/3/12、旧安定版 OpenPNE 3.6.18 及び 新安定版 OpenPNE 3.8.15 をリリースしました。

今回のリリースでは、アップロードされた画像を削除してもデータベースから削除されない不具合などが修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年6月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

旧安定版 OpenPNE 3.6.17、新安定版 OpenPNE 3.8.14 リリースのお知らせ

12 / 11 木曜日 2014

本日 2014/12/11、旧安定版 OpenPNE 3.6.17 及び新安定版 OpenPNE 3.8.14 をリリースしました。

今回から旧安定版、新安定版の同時リリースとなります。
修正内容に関しては下記の各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年3月12日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

プラグイン同梱版OpenPNE-3.8.13を作成しました

09 / 26 金曜日 2014

プラグイン同梱版OpenPNE3.8.13を作成しました。
先週リリースいたしましたOpenPNE3.8.13の修正分を反映しています。

また、今回からopCsvExportPluginも同梱しました。
opCsvExportPluginの使用方法はこちらをご覧ください。

3.8.12からの変更点

変更点はOpenPNE3.8.13のリリースと同等です。
詳細についてはOpenPNE3.8.13のリリースのお知らせをご覧ください。

http://www.openpne.jp/archives/12571/

パッケージのダウンロード

ダウンロードはこちらです。

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSpnetan宛につぶやいてみてください。

ページの先頭に戻る