OpenPNEからのおしらせ
旧安定版 OpenPNE 3.6.24、新安定版 OpenPNE 3.8.21 リリースのお知らせ
09 / 08 木曜日 2016
本日 2016/09/08、旧安定版 OpenPNE 3.6.24 及び 新安定版 OpenPNE 3.8.21 をリリースしました。
今回のリリースでは、URLがhttpsの場合にamazon小窓が表示されない問題やスマートフォンでの不具合修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。
次回の OpenPNE のリリースは 2016年012月08日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
旧安定版 OpenPNE 3.6.23、新安定版 OpenPNE 3.8.20 リリースのお知らせ
06 / 09 木曜日 2016
本日 2016/06/09、旧安定版 OpenPNE 3.6.23 及び 新安定版 OpenPNE 3.8.20 をリリースしました。
今回のリリースでは、OpenPNEのIPアドレス帯域リストを更新しました。OpenPNEの携帯版を利用している方はSNSに反映お願いします。
詳しくはこちらをご覧ください。
その他、詳細に関しては各チケットをご覧ください。
次回の OpenPNE のリリースは 2016年09月08日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
携帯電話IPアドレス帯域リストを更新しました
04 / 14 木曜日 2016
本日 4月14日、auのIPアドレス帯域追加に伴いOpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。
今回追加したIP
auのIPアドレス帯域変更についての詳細は以下のURLを御覧ください。
http://www.au.kddi.com/ezfactory/tec/spec/ezsava_ip.html
- 27.90.207.224
- 27.90.207.240
ダウンロード
http://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。
IPアドレス帯域リストの更新方法
OpenPNE3
OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。
lib/config/config/mobile_ip_address.yml
「IPアドレス帯域リストの対応バージョンを減らします」の告知の通り、OpenPNE3.4以下(OpenPNE2系も含む)については、IP帯域リストの更新はおこなっていません。
上記の「今回追加したIP」を参考に運営者様各自で追加作業を行ってください。
次回の更新
次回のリリースは未定です。
旧安定版 OpenPNE 3.6.22、新安定版 OpenPNE 3.8.19 リリースのお知らせ
03 / 10 木曜日 2016
本日 2016/03/10、旧安定版 OpenPNE 3.6.22 及び 新安定版 OpenPNE 3.8.19 をリリースしました。
今回のリリースでは、小窓機能を更新しました。
その他、詳細に関しては各チケットをご覧ください。
次回の OpenPNE のリリースは 2016年06月09日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
OpenPNE 3.6.21、3.8.18 以下 に存在する アクティビティのアクセスブロックに関する複数の脆弱性 の修正のお知らせ(OPSA-2016-001)
02 / 25 木曜日 2016
OpenPNE 3.6.21、3.8.18 以下 には、アクティビティのアクセスブロックに関する複数の脆弱性が存在します。
本日(2016/02/25)、この問題の対策版として OpenPNE 3.6.21.1、3.8.18.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
概要
OpenPNE 3.6.21、3.8.18 以下 には、下記のアクティビティのアクセスブロックに関する複数の脆弱性が存在していました。
- 1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
- 2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
本問題について
影響を受けるシステム
1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
想定される影響
1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
また、「もっと読む」のリンク先(/member/showAllMemberActivity) でも同様の問題が発生する。
なお、メンバー毎のアクティビティ一覧ページ(/member/showActivity/id/*)ではアクセスブロック設定に応じて正しく表示される。
2. アクティビティ検索API(activity/search.json)がアクセスブロック設定を考慮していない問題
アクティビティ検索API を利用しているため opTimelinePlugin(すべてのバージョン) でも同様の問題が発生する。
対策方法・回避方法
対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。
本問題への対応方法
「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。
OpenPNE 3
対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.8.18.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.6.21.1
- [.zip 版ダウンロード] [修正パッチ]
なお、opTimelinePlugin 自体の更新は必要ありません。
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。
各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
4. 以下のコマンドを実行します
$ ./symfony openpne:migrate
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。
小窓機能サーバのメンテナンスを行いました
01 / 20 水曜日 2016
下記日程でサーバメンテナンスを行いました。
2016年01月20日(水) 14:00〜15:00
表示が崩れる場合は、ブラウザのキャッシュをクリアしてみてください。
変更点
小窓機能で表示される Amazon の商品情報 についてデザインを変更
Amazon小窓機能の使い方
1. 小窓を表示させたい Amazonの商品ページ に行き、URLをコピーします。
2. コピーした Amazonの商品ページのURL を日記の「本文」欄に貼り付け、日記を書き込みます。
3. Amazon小窓 が日記に表示されます。
Amazon小窓機能は日記以外に、コミュニティトピック、コミュニティイベント、タイムラインでも利用可能です。
ただし、タイムラインに表示させたい場合、URLが長すぎる場合があります。
その場合は、下記の手順で短縮したものを貼り付けてください。
1. 「http://www.amazon.co.jp/」の後ろのスラッシュから「/dp/」の手前までは、書籍名、著者名がエンコードされた文字列なのですべて省く。
2. 「/dp/10桁のコード/」の後ろに続く文字列をすべて省く。
例:
元のURL
http://www.amazon.co.jp/OpenPNE%E3%82%AA%E3%83%95%E3%82%A3%E3%82%B7%E3%83%A3%E3%83%AB%E3%82%AC%E3%82%A4%E3%83%89%E3%83%96%E3%83%83%E3%82%AF-%E4%BC%8A%E8%97%A4-%E5%B9%B8%E5%A4%AB/dp/4839922543/ref=sr_1_4?ie=UTF8&qid=1452239444&sr=8-4&keywords=openpne
短縮後のURL
http://www.amazon.co.jp/dp/4839922543/
Amazon 小窓機能 のデザイン変更にともない、小窓機能サーバのメンテナンスを行います
01 / 08 金曜日 2016
小窓機能で表示される Amazon の商品情報 について、デザインを変更し、下記日程でサーバメンテナンスを行います。
メンテナンス中に小窓機能を使用した場合、一時的に表示されないことがあります。
サーバメンテナンス
2016年01月20日(水) 14:00〜15:00
メンテナンス終了後も表示されない場合は、ブラウザのキャッシュをクリアしてみてください。
Amazon小窓機能の使い方
1. 小窓を表示させたい Amazonの商品ページ に行き、URLをコピーします。
2. コピーした Amazonの商品ページのURL を日記の「本文」欄に貼り付け、日記を書き込みます。
3. Amazon小窓 が日記に表示されます。
Amazon小窓機能は日記以外に、コミュニティトピック、コミュニティイベント、タイムラインでも利用可能です。
ただし、タイムラインに表示させたい場合、URLが長すぎる場合があります。
その場合は、下記の手順で短縮したものを貼り付けてください。
1. 「http://www.amazon.co.jp/」の後ろのスラッシュから「/dp/」の手前までは、書籍名、著者名がエンコードされた文字列なのですべて省く。
2. 「/dp/10桁のコード/」の後ろに続く文字列をすべて省く。
例:
元のURL
http://www.amazon.co.jp/OpenPNE%E3%82%AA%E3%83%95%E3%82%A3%E3%82%B7%E3%83%A3%E3%83%AB%E3%82%AC%E3%82%A4%E3%83%89%E3%83%96%E3%83%83%E3%82%AF-%E4%BC%8A%E8%97%A4-%E5%B9%B8%E5%A4%AB/dp/4839922543/ref=sr_1_4?ie=UTF8&qid=1452239444&sr=8-4&keywords=openpne
短縮後のURL
http://www.amazon.co.jp/dp/4839922543/
携帯電話 IP アドレス帯域リスト リポジトリ変更のご案内
12 / 22 火曜日 2015
携帯電話 IP アドレス帯域リスト のリポジトリを github.com に移動します。
旧リポジトリ: https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/
新リポジトリ: https://github.com/openpne/mobile_ip_list
旧リポジトリは、次回の 携帯電話 IP アドレス帯域リスト の更新発生時までご利用可能です。
svn をご利用の皆様にはご迷惑をおかけしますが、何卒ご理解いただきますよう、よろしくお願いいたします。
旧安定版 OpenPNE 3.6.21、新安定版 OpenPNE 3.8.18 リリースのお知らせ
12 / 10 木曜日 2015
本日 2015/12/10、旧安定版 OpenPNE 3.6.21 及び 新安定版 OpenPNE 3.8.18 をリリースしました。
今回のリリースでは、auのIPアドレス帯域変更に伴いOpenPNEのIPアドレス帯域リストを更新しました。OpenPNEの携帯版を利用している方はSNSに反映お願いします。
詳しくはこちらをご覧ください。
その他、詳細に関しては各チケットをご覧ください。
次回の OpenPNE のリリースは 2016年3月10日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下に存在するセッション管理に関する複数の脆弱性の修正のお知らせ(OPSA-2015-002)
10 / 08 木曜日 2015
OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、セッション管理に関する複数の脆弱性が存在します。
本日(2015/10/08)、この問題の対策版として OpenPNE 3.6.20.1、3.8.17.1 および opAuthMailAddressPlugin 1.3.5.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
また、opAuthMailAddressPlugin 以外の独自カスタマイズの認証プラグインをご利用の場合も同様の処理を行っている場合がありますので、パッチをダウンロードの上内容をご確認ください。
概要
OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、下記のセッション管理に関する複数の脆弱性が存在していました。
- 1. 新規登録URLを利用したなりすましログインが可能な問題
- 2. セッション破棄の不備
本問題について
影響を受けるシステム
1. 新規登録URLを利用したなりすましログインが可能な問題
セッション破棄の不備
想定される影響
1. 新規登録URLを利用したなりすましログインが可能な問題
なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更をなりすましたメンバーの権限でおこなわれてしまう可能性がある。
2. セッション破棄の不備
対策方法・回避方法
対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。
本問題への対応方法
「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。
OpenPNE 3
対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.8.17.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.6.20.1
- [.zip 版ダウンロード] [修正パッチ]
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。
各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
4. 以下のコマンドを実行します
$ ./symfony openpne:migrate
OpenPNE プラグイン
OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。
そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。