本日 2018/03/15、旧安定版 OpenPNE 3.6.30 及び 新安定版 OpenPNE 3.8.27 をリリースしました。

今回のリリースでは、Google Map の API KEY を渡す際にパラメータ名が設定されていない問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。

また、OpenPNEは、PHP7への対応を進めています。
進行状況は PHP7対応のための修正を行う を参照してください。

次回の OpenPNE のリリースは 2018年06月14日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.6.30, 3.8.27 のリリース延期についてのお知らせです。
2018/03/08 (木) のリリースを予定していましたが、
対応項目の修正が間に合わないため、2018/03/15 (木) にリリース日を延期致します。

リリースをお待ちいただいいている皆様にはご迷惑をおかけしますが、
何卒ご理解いただきますよう、よろしくお願いいたします。

本日、開発版 OpenPNE 3.9.0 をリリースしました。

今回のリリースでは、PHP 7 以降をサポート対象とし追加しました。
これに伴い下記チケットにて修正中です。

• #4176 PEARパッケージのアップデート
• #4177 最低動作環境をPHP5.4以上に変更する
• #4178 LExpress/symfony1 に移行する
• #4179 SimplePie 1.4.3 へのアップデート
• #4151 MySQLのONLY_FULL_GROUP_BYが有効な状態で「日記コメント記入履歴」ガジェットを表示するとエラー
• #4033 MySQLのStrict Modeを有効にした場合に生じる問題を調査

進行状況、詳細は PHP7対応のための修正を行う を参照してください。

また、 OpenPNE 3.9.0 デモサイト が公開されています。

その他の既知の問題

• MySQLのStrict Modeを有効にした場合に生じる問題(sql_mode を空にすることで回避可能)
• Net_IPv4 クラス内で、PHP7 で廃止された関数が使用されている(実際にエラーが発生するかは未確認)
• symfony に対して未適用のパッチが存在する
• 一部のプラグインで opPlugin:install タスクの実行が失敗する(plugins ディレクトリに直接プラグインを追加する場合には影響はない)
• opCommunityTopicPlugin の openpne:migrate が失敗することがある(プラグインを配置後に、openpne:install を実行することで回避可能)
• opUploadFilePlugin でのファイルアップロード時に、アップロード中の画面で止まる(アップロード自体はできている)
• opMessagePluginで、「フレンド申請のメッセージ」を表示しようとすると、500 エラーが発生する（通常のメッセージは表示される）

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

本日 2017/12/14、旧安定版 OpenPNE 3.6.29 及び 新安定版 OpenPNE 3.8.26 をリリースしました。

今回のリリースでは、「%my_friend%」の翻訳が「%my_friend%まで公開」になっている問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。

また、OpenPNEは、PHP7への対応を進めています。
進行状況は PHP7対応のための修正を行う を参照してください。

次回の OpenPNE のリリースは 2018年03月08日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

本日 (2017/11/09)、OpenPNE に対して次の通りセキュリティリリースを行いました。内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

• OpenPNE 3.8.25.1
• OpenPNE 3.6.28.1

これらのバージョンは、OpenPNE に存在する次の脆弱性に対する修正を含んでいます。

1. APIリクエストに含まれる制御文字が適切に除去されない不具合

詳細については以下を参照して下さい。

1. APIリクエストに含まれる制御文字が適切に除去されない不具合

OpenPNE について、API リクエストに含まれる制御文字が適切に除去されない不具合が発見されました。

通常 OpenPNE ではリクエストに含まれる制御文字を事前に除去する処理を行っています。
これは以下のような問題を防ぐための予防的な対策に当たります。

• PHP には Null バイトを含む文字列によって意図しない挙動を示す関数（バイナリセーフでない関数）が存在することが知られています。この挙動を利用して入力値の検査をすり抜ける攻撃 (Null Byte Attack) は、事前に Null バイトを除去することで防ぐことが可能です。
  ※ 参考: https://github.com/openpne/OpenPNE3-doc/blob/e955f2ac/secure-coding-guideline/secure-coding-guideline.ja.rst#null-byte-attack
• 必須項目であるパラメータに制御文字のみを含む文字列を渡すことによって、通常発生する必須項目のエラーを回避される場合があります。
  ※ 参考: http://trac.openpne.jp/ticket/1566

これらの対策は、ユーザ画面・管理画面におけるリクエストに対しては既に行われております。
当リリースにおける修正が適用されていない OpenPNE では、API へのリクエストについてのみ上述の対策が適用されない状態となっておりました。

対象となる API:

• opWebAPIPlugin によって提供される API
• JSON API (OpenPNE 3.8 以上)
• その他、URL に /api.php を含む API

想定される影響

現時点で OpenPNE の API リクエストに Null バイト等の制御文字を含めることで脆弱性に繋がる問題は確認されていません。
しかし、通常 OpenPNE では事前に Null バイト等がパラメータから除去されている前提で実装されており、このフィルタが機能しない場合に予期しない影響を及ぼす可能性があります。
そのため、上記の「対象となる API」が有効な SNS においては当リリースにおける修正を適用することを推奨します。

影響を受けるバージョン

• OpenPNE 3.8.25 以下
• OpenPNE 3.6.28 以下

対策方法

今回提供されるアップデートを適用して下さい。この脆弱性についてアップデートを行わずに回避する方法はありません。

アップデート方法

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.25.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.28.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.25.1 バージョンアップ手順書
• OpenPNE 3.6.28.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

本日 2017/09/14、旧安定版 OpenPNE 3.6.28 及び 新安定版 OpenPNE 3.8.25 をリリースしました。

今回のリリースでは、メール通知テンプレート設定にて、タイトルが長過ぎる場合にエラーにならず途中で切れて保存されてしまう問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。

また、OpenPNEは、PHP7への対応を進めています。
進行状況は PHP7対応のための修正を行う を参照してください。

次回の OpenPNE のリリースは 2017年12月14日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

本日 2017/06/08、旧安定版 OpenPNE 3.6.27 及び 新安定版 OpenPNE 3.8.24 をリリースしました。

今回のリリースでは、メンバー登録時にデータが不正な状態になることがある問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。

また、OpenPNEは、PHP7への対応を進めています。
進行状況は PHP7対応のための修正を行う を参照してください。

次回の OpenPNE のリリースは 2017年09月14日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

本日 2017/03/09、旧安定版 OpenPNE 3.6.26 及び 新安定版 OpenPNE 3.8.23 をリリースしました。

今回のリリースでは、「Web 全体への年齢公開許可設定」を「メンバーの設定を許可しない」に設定しても新規登録時に選択できてしまう問題の修正などを行っています。
その他、詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2017年06月08日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

本日 (2017/02/09)、OpenPNE に対して次の通りセキュリティリリースを行いました。内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

• OpenPNE 3.8.22.1
• OpenPNE 3.6.25.1

これらのバージョンは、OpenPNE に存在する次の脆弱性に対する修正を含んでいます。

1. SNSメンバー間におけるアクセス制限を回避する脆弱性

各脆弱性の詳細については以下を参照して下さい。

1. SNSメンバー間におけるアクセス制限を回避する脆弱性

OpenPNE について、SNS メンバー間のアクセスブロック設定によるアクセス制限を回避する脆弱性が発見されました。

想定される影響

SNSに登録しているユーザーによって、下記のような操作を行われる可能性があります。

• アクセスブロック機能でアクセスが制限されているメンバーのプロフィール写真一覧 (メイン写真に設定していないものを含む) を閲覧される可能性があります
• アクセスブロック機能でアクセスが制限されているメンバーの参加コミュニティ一覧を閲覧される可能性があります

影響を受けるバージョン

• OpenPNE 3.8.22 以下
• OpenPNE 3.6.25 以下

対策方法

今回提供されるアップデートを適用して下さい。この脆弱性についてアップデートを行わずに回避する方法はありません。

アップデート方法

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.22.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.25.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.22.1 バージョンアップ手順書
• OpenPNE 3.6.25.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

opUploadFilePlugin 0.9.0 以下 には、HTMLファイルに含まれている任意のスクリプトがダウンロード時に実行されてしまう XSS脆弱性が存在します。
この問題の対策版として opUploadFilePlugin 0.9.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

opUploadFilePlugin は、OpenPNE 3.8系 にて利用可能なプラグインであるため、OpenPNE 3.6 系ではこの問題は発生しません。

概要

opUploadFilePlugin 0.9.0 以下 には、HTMLファイルに含まれている任意のスクリプトがダウンロード時に実行されてしまう XSS脆弱性が存在します。
この問題は、Internet Explorer 8 にて実行可能であることが確認されています。
また、Internet Explorer 9 以降、Chrome 最新版、Firefox 最新版 では、この問題が発生しないことが確認されています。

本問題について

影響を受けるシステム

想定される影響

対策方法

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

opUploadFilePlugin

プラグインのリリース情報を参考に更新をおこなってください。

• opUploadFilePlugin 0.9.1

  [.zip 版ダウンロード] [修正パッチ]

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。