本日 2014/02/13、OpenPNE 3.8.10 をリリースしました。

今回のリリースではGoogle Maps APIのバージョン3への対応をおこなっております。この対応によりgoogle maps api keyを管理画面で設定していなくてもgoogle mapの小窓表示が可能です。

また、部分SSL使用時にカスタムCSSが読み込まれない問題の対応のとして、OpenPNE.yml.sampleに変更があります。SSLおよびカスタムCSSを使用している場合は変更内容をご確認の上、設定の追加をお願い致します。変更内容はこちらをご確認ください。

次回のOpenPNE3.8系のリリースは 2014年4月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

プラグイン同梱版OpenPNE3.8.9.1を作成しました。
本バージョンはPHP Object Injection 脆弱性（OPSA-2014-001）の対応を取り込んでいます。

3.8.9からの変更点

• PHP Object Injection 脆弱性（OPSA-2014-001）の取り込み

パッケージのダウンロード

ダウンロードはこちらです。

• プラグイン同梱版zipパッケージ

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSやpnetan宛につぶやいてみてください。

OpenPNE開発Redmine (redmine.openpne.jp) において、以下の日程でサーバーメンテナンスをおこないます。

メンテナンス中はご不便をおかけいたしますが、ご了承ください。

メンテナンス予定日時

2014年1月31日(金) 14:00〜15:00

メンテナンス内容

Redmine と同サーバー内の各種ミドルウェアのバージョンアップを実施します。

メンテナンス影響範囲

メンテナンス中は以下の機能が利用できません。

• redmine.openpne.jp のすべての機能
• plugins.openpne.jp のログイン機能（プラグインのインストールは可能です）

OpenPNE 3.6.13, 3.8.9 のメンバーのログイン画面にて利用可能な「次回から自動ログイン」という機能には、PHP Object Injection 脆弱性が存在します。
この脆弱性を悪用することで、OpenPNEでは任意の PHP コードの実行が可能となっており、極めて重大な問題です。

本日 (2014/01/20)、この問題の対策版として OpenPNE 3.6.13.1, 3.8.9.1 のリリースをおこないましたので、内容を確認の上、バージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

以下のバージョンの OpenPNE (メンバーのログイン画面の「次回から自動ログイン」機能を有するバージョン) を使用しているすべてのサイト

• OpenPNE 3.6.13 以下
• OpenPNE 3.8.9 以下

※OpenPNE 3.4系列、OpenPNE 3.2 系列、OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。

脆弱性の説明

OpenPNE 3.6 から追加された「次回から自動ログイン」の機構は、自動ログイン対象となるメンバー ID と、自動ログイン毎に発行された認証用の ID の組をバイナリデータとしてシリアライズし、 base64 エンコードを施した文字列を格納した cookie をやり取りすることによって実現されています。
この認証に必要な cookie の情報をシリアライズ、アンシリアライズする手段に実装上の不備があるため、任意の PHP コードを実行されてしまうといった重大な問題が発生する可能性があります。

想定される影響

以下のような深刻な影響が考えられます。

• 任意の PHP コード実行
• Web サーバからアクセス可能な任意のファイルの削除

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.9.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.13.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.9.1 バージョンアップ手順書
• OpenPNE 3.6.13.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

バージョンアップ、パッチ適用後の注意点

本問題の対応を実施すると、「次回から自動ログイン」を設定していたユーザでも再度ログイン操作を行う必要があります。

謝辞

本脆弱性は、Secunia Research の Egidio Romano 氏よりご報告を頂きました。
報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。

This vulnerability is reported by Egidio Romano of Secunia Research.
We really appreciate him and all persons who worked very hard to release this advisory.

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

OpenPNE 3.8.10 のリリース延期についてのお知らせです。
2014/1/9 (木) のリリースを予定していましたが、
開発者のリソースの確保の都合により、2014/2/13 (木)にリリース日を延期致します。

ご連絡が遅くなり大変申し訳ありません。
リリースをお待ちいただいいている皆様にはご迷惑をおかけしますが、
何卒ご理解いただきますよう、よろしくお願いいたします。

OpenPNE 開発チームの今村です。

本日 2013/12/12、OpenPNE 3.6.13 をリリースしました。
今回のリリースではGoogle Maps APIのバージョン3への対応をおこなっております。この対応によりgoogle maps api keyを管理画面で設定していなくてもgoogle mapの小窓表示が可能です。

また、部分SSL使用時にカスタムCSSが読み込まれない問題の対応のとして、OpenPNE.yml.sampleに変更があります。SSLおよびカスタムCSSを使用している場合は変更内容をご確認の上、設定の追加をお願い致します。変更内容はこちらをご確認ください。

次回のOpenPNE3.6系のリリースは 2014年2月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの今村です。

本日 2013/12/12、opBlogPlugin 1.0.3 をリリースしました。
今回のリリースでは、opBlogPlugin を使用しているメンバーが退会しようとすると500エラーとなる問題を対応いたしました。

続きを読む

OpenPNE開発チームの西添です。
本日は、手嶋屋が提供している 『xpne.infoサービス』を紹介したいと思います。

xpne.infoサービスは、開発中のOpenPNEプラグインを試用できるサービスです。
xpne.infoサービスにて皆さんにご好評いただいたものを、pne.jpサービスやオープンソースとして提供していく予定です。
・ここをこうすれば使いやすくなる
・こんなバグを見つけた
・このプラグインは使い道がない
などどんなことでも構いません。
どんどんフィードバックをいただければと思います。

また、xpne.infoサービスでは、皆さんからの「こんなプラグイン作ったんだけどxpneで試してみて！」もお待ちしております。
インストール方法、動作条件などお書き添えの上ご連絡ください。
受付窓口は、[email protected] となります。
簡単な動作テストを行った後、xpne.infoサービスへインストールします。
※xpne.infoサービスで使用しているOpenPNEのバージョンは現在3.8.7です。

皆さんからのフィードバックをお待ちしています。

—
■xpne.infoサービス
https://xpne.info/index.html

■xpne.infoサービス 利用規約
https://xpne.info/userAgreement.html

■フィードバックは公式SNSまで
http://sns.openpne.jp/

■pne.jpサービス
https://pne.jp/index.html

OpenPNE開発チームの今村です。

OpenPNEのセットアップをもっと手軽にできるように、各種プラグインを同梱したOpenPNE3.8.9のzipパッケージを作成しました。

手軽になった点

• インストール時の設定ファイル（OpenPNE.yml、ProjectConfiguration.class.php）の作成が不要になりました
• 開発環境用のファイル（pc_backend_dev.php、pc_frontend_dev.phpなどのdevファイル）の削除が不要になりました
• プラグインを同梱しタイムライン、いいね、日記などのプラグインをインストール後すぐに利用可能になりました

同梱プラグインについて

本パッケージには下記のプラグインが同梱されています。

• opTimelinePlugin 1.2.2
• opLikePlugin 1.2.1
• opDiaryPlugin 1.4.1
• opCommunityTopicPlugin 1.0.5
• opMessagePlugin 1.0.0
• opSkinThemePlugin 1.0.0

パッケージのダウンロード

ダウンロードはこちらです。

• プラグイン同梱版zipパッケージ

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSやpnetan宛につぶやいてみてください。

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.9 をリリースしました。
今回のリリースでは OpenPNE 3.6.12 でおこなった機能テストの正常化を、
3.8系に対しても反映いたしました。
また本日、opTImelinePlugin 1.2.1 のリリースもいたしました。
こちらも合わせて使ってみてください。
opTImelinePlugin 1.2.1のリリースについてはこちらの告知を御覧ください。
→ https://www.openpne.jp/archives/12209/

次回、OpenPNE 3.8.10 のリリースは 2014年1月9日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む