-オープンソースのSNSエンジン OpenPNEプロジェクト-

OpenPNE リリース情報

Home

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下に存在するセッション管理に関する複数の脆弱性の修正のお知らせ(OPSA-2015-002)

10 / 08 木曜日 2015

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、セッション管理に関する複数の脆弱性が存在します。

本日(2015/10/08)、この問題の対策版として OpenPNE 3.6.20.1、3.8.17.1 および opAuthMailAddressPlugin 1.3.5.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

また、opAuthMailAddressPlugin 以外の独自カスタマイズの認証プラグインをご利用の場合も同様の処理を行っている場合がありますので、パッチをダウンロードの上内容をご確認ください。

概要

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、下記のセッション管理に関する複数の脆弱性が存在していました。

  1. 1. 新規登録URLを利用したなりすましログインが可能な問題
  2. 2. セッション破棄の不備

本問題について

影響を受けるシステム

1. 新規登録URLを利用したなりすましログインが可能な問題
OpenPNE 3.6.20、3.8.17 以下を利用しており、認証プラグイン opAuthMailAddressPlugin を有効にしているサイト
セッション破棄の不備
OpenPNE 3.6.20、3.8.17 以下を利用しており、symfony のバージョンが 1.4.17 以下を利用しているサイト

想定される影響

1. 新規登録URLを利用したなりすましログインが可能な問題
登録済みメンバーに紐付く新規登録URLを第三者に取得された場合、通常の認証を経由せずになりすましログインがおこなわれる可能性がある。
なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更をなりすましたメンバーの権限でおこなわれてしまう可能性がある。
2. セッション破棄の不備
SNS画面(PC用・モバイル用)、管理画面 でログアウトを行っても、セッションがサーバ側で破棄されない。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.17.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.20.1
[.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

旧安定版 OpenPNE 3.6.20、新安定版 OpenPNE 3.8.17 リリースのお知らせ

09 / 10 木曜日 2015

本日 2015/9/10、旧安定版 OpenPNE 3.6.20 及び 新安定版 OpenPNE 3.8.17 をリリースしました。

今回のリリースでは、フォームに数値以外を渡した場合に正しくバリデーションが行われない場合があったなどの不具合が修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年12月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

旧安定版 OpenPNE 3.6.19、新安定版 OpenPNE 3.8.16 リリースのお知らせ

06 / 11 木曜日 2015

本日 2015/6/11、旧安定版 OpenPNE 3.6.19 及び 新安定版 OpenPNE 3.8.16 をリリースしました。

今回のリリースでは、プロフィール入力値が空の場合に起こる公開設定の不具合などが修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年9月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

opCalendarPlugin 0.9.5 リリースのお知らせ

04 / 24 金曜日 2015

opCalendarPlugin リードメンテナの卜部です。

opCalendarPlugin 0.9.5 をリリースしました。

今回は Google Calendar の連携において OAuth 1.0 のサポートが 4 月 20 日で終了したため、
それに対応するための修正を行いました。

バグ、要望がありましたら、以下のページから作成ください。(チケット作成はRedmineに登録している必要があります。)
opCalendarPlugin チケット作成

インストールコマンド

$ ./symfony opPlugin:install opCalendarPlugin -r 0.9.5
$ ./symfony openpne:migrate –-target=opCalendarPlugin

インストール後、OAuth 2.0 向けの JSON ファイルを Google Developers Console から取得し 管理画面 (pc_backend.php/opCalendarPlugin) に登録してください。OAuth 1.0 を使っていた場合も新規に JSON ファイルを取得する必要があります。

OAuth 2.0 での対応と同時に行えるようになったこと

  • ・一つのプライマリーのカレンダーと紐付けられるのは SNS 内の 1 アカウントとする制限をいれた
  • ・Google Calendar 側で削除された場合、SNS 側でも削除を行うようにした
  • ・トークンを Revoke できるように改修した (SNS 内の連携しているスケジュール、アクセストークン削除、Google Calendar 側でトークンを無効にする)

続きを読む

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 に存在する公開設定関連の修正対応のお知らせ(OPSA-2015-001)

04 / 02 木曜日 2015

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、公開設定に関する複数の不具合が存在します。

本日(2015/04/02)、この問題の対策版として OpenPNE 3.6.18.1、3.8.15.1 および opCommunityTopicPlugin 1.0.5.1、1.1.2.1 および opIntroFriendPlugin 1.0.0.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.18、3.8.15 以下 および opCommunityTopicPlugin 1.0.5、1.1.2 以下 および opIntroFriendPlugin 1.0.0 以下 には、下記の公開設定関連の問題が存在していました。

  1. 1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
  2. 2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
  3. 3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
  4. 4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
  5. 5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう

本問題について

影響を受けるシステム

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
OpenPNE 3.6.18、3.8.15 以下を利用しており、Web全体に公開しているメンバーにフレンドが存在するサイト
2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
opIntroFriendPlugin 1.0.0 以下を利用しており、Web全体に公開しているメンバーにフレンドが存在するサイト
3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
opCommunityTopicPlugin 1.0.5、1.1.2 以下を利用しているサイト
4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
OpenPNE 3.6.18、3.8.15 以下を利用しているサイト
5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう
OpenPNE 3.6.18、3.8.15 以下を利用しているサイト

想定される影響

1. Web全体に公開しているプロフィールページで、Web全体に公開していないフレンドがフレンドリストに表示されてしまう
プロフィールを「Web全体に公開」しているメンバーと、プロフィールを「Web全体に公開」していないメンバーがフレンドの場合、「Web全体に公開」しているプロフィールページのフレンドリストに「Web全体に公開」していないメンバーのプロフィール画像とニックネームが表示されてしまう。
2. Web全体に公開しているプロフィールページで、紹介文を書いたフレンドのニックネームとプロフィール画像が表示されてしまう
プロフィールを「Web全体に公開」しているメンバーと、プロフィールを「Web全体に公開」していないメンバーがフレンドの場合でプロフィールを「Web全体に公開」しているメンバーに紹介文を書いている場合、「Web全体に公開」しているプロフィールページのフレンドからの紹介文に「Web全体に公開」していないメンバーのプロフィール画像とニックネームが表示されてしまう。
3. コミュニティ参加承認待ちのメンバーがコミュニティ書き込みの転送を利用してトピックの情報を取得できてしまう
コミュニティトップにて、コミュニティ参加承認待ちのメンバーが閲覧した場合でもコミュニティ書き込みの転送設定が表示されるため、承認待ちメンバーでも書き込み転送設定を「受け取る」にすると、その後のトピックの書き込みを受信できてしまう。
4. 特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう
特定の URL 指定をするとプロフィールページが公開範囲の指定にかかわらず閲覧可能となってしまう。
5. 誕生日メール送信タスクが誕生日の公開設定を考慮していないため、非公開であってもフレンドに対して誕生日メールが送信されてしまう
誕生日を非公開設定にしていても、フレンドに対して誕生日メールが送信されてしまう。

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.15.1
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.18.1
[.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

OpenPNE プラグイン

OpenPNE 3.6 をご利用の場合は、OpenPNE 3 本体のマイナーバージョンアップをおこなうと opCommunityTopicPlugin や opIntroFriendPlugin のバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

OpenPNE 3.8 をご利用の場合やバンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

旧安定版 OpenPNE 3.6.18、新安定版 OpenPNE 3.8.15 リリースのお知らせ

03 / 12 木曜日 2015

本日 2015/3/12、旧安定版 OpenPNE 3.6.18 及び 新安定版 OpenPNE 3.8.15 をリリースしました。

今回のリリースでは、アップロードされた画像を削除してもデータベースから削除されない不具合などが修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年6月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

旧安定版 OpenPNE 3.6.17、新安定版 OpenPNE 3.8.14 リリースのお知らせ

12 / 11 木曜日 2014

本日 2014/12/11、旧安定版 OpenPNE 3.6.17 及び新安定版 OpenPNE 3.8.14 をリリースしました。

今回から旧安定版、新安定版の同時リリースとなります。
修正内容に関しては下記の各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年3月12日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

プラグイン同梱版OpenPNE-3.8.13を作成しました

09 / 26 金曜日 2014

プラグイン同梱版OpenPNE3.8.13を作成しました。
先週リリースいたしましたOpenPNE3.8.13の修正分を反映しています。

また、今回からopCsvExportPluginも同梱しました。
opCsvExportPluginの使用方法はこちらをご覧ください。

3.8.12からの変更点

変更点はOpenPNE3.8.13のリリースと同等です。
詳細についてはOpenPNE3.8.13のリリースのお知らせをご覧ください。

http://www.openpne.jp/archives/12571/

パッケージのダウンロード

ダウンロードはこちらです。

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSpnetan宛につぶやいてみてください。

新安定版 OpenPNE 3.8.13 リリースのお知らせ

09 / 11 木曜日 2014

本日 2014/09/11、OpenPNE 3.8.13 をリリースしました。

今回のリリースでは、画像アップロード時にリサイズを行った画像の画質が荒くなる問題などを修正しております。
詳細に関しては各チケットをご覧ください。
また、2014年7月10日の携帯IP帯域リストの更新分も取り込まれております。

次回のOpenPNE3.8系のリリースは 2014年12月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE安定版リリーススケジュールについて

08 / 21 木曜日 2014

OpenPNE安定版のリリース間隔の変更をお知らせいたします。
これまでは一ヶ月に一度、新安定版と旧安定版を交互にリリースしておりました。
作業効率と品質を向上させるため、今後は三ヶ月に一度、新安定版と旧安定版を同時にリリースいたします。

次回の新安定版 OpenPNE 3.8.13 は従来通り2014年9月11日(木)のリリース予定です。

今後のリリース予定は以下をご覧ください。

リリース予定日 バージョン
2014年9月11日(木) 新安定版 OpenPNE 3.8.13
2014年12月11日(木) 旧安定版 OpenPNE 3.6.17 / 新安定版 OpenPNE 3.8.14
2015年3月12日(木) 旧安定版 OpenPNE 3.6.18 / 新安定版 OpenPNE 3.8.15
2015年6月11日(木) 旧安定版 OpenPNE 3.6.19 / 新安定版 OpenPNE 3.8.16
2015年9月10日(木) 旧安定版 OpenPNE 3.6.20 / 新安定版 OpenPNE 3.8.17

何卒ご理解いただきますよう、よろしくお願いいたします。

ページの先頭に戻る