OpenPNE開発チームの今村です。
7/31（水）に公式SNSをリニューアルします。

新公式SNSはどう変わるの？

新公式SNSは、OpenPNEユーザーの皆さんが気軽にコミュニケーションができるQ&Aサイトとしてリニューアルする予定です。
新公式SNSのURLは現在の公式SNSと同じく https://sns.openpne.jp/ です。
これまで日記やタイムラインやトピックなどに散乱していたQ&Aコンテンツを、コミュニティ機能のトピックに絞ることでシンプルになります。
また、新機能としてトピックに「KAIZEN」や「HELPME」や「BUG」といったラベルを付けられるようにし、Q&Aを分類し探しやすくなります。

現在の公式SNSのコンテンツは？

現在の公式SNSは https://sns.openpne.jp/classic として今後も利用できます。
昔の日記を読み返したり、アルバムを見たりなど自由にご利用ください。
また、ブックマークに登録してる方は変更をおねがいします。

その他お知らせ

新公式SNSにて交わされたQ&Aはより多くのOpenPNEユーザーや、今後OpenPNEの利用を考えている方のためにOpenPNE公式サイトのブログなどで事例集として公開する予定です

新公式SNSに現在の公式SNSのアカウントは移行しません。新規登録をよろしくお願い致します

facebook、google、twitterのアカウントで新規登録が可能になる予定です

リニューアル後、classic環境のコンテンツ内にあるSNS内のURLはリンクが無効になります

https://sns.openpne.jp/classic/diary/1 のようにURLに classic をつければアクセスできます

リニューアル作業にともないログイン状態をリセットしますので、リニューアル後は再度ログインを行なってください

以上です。

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.7 をリリースしました。
本リリースでは、スマートフォンで発生する不具合の修正を行なっています。

「アクセスブロックした相手がスマートフォンでフレンドとして表示される」問題は77webさんからのプルリクエストにより修正されました。
プルリクエストありがとうございました！
また、この問題は、公式コミュニティから報告を頂いたバグです。
consさん、バグ報告ありがとうございました！

次回のリリースは 2013年9月12日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの中島です。

先日、OpenPNE 3.8.7のリリース選定会を行いました。
そこで、次回7月11日（木）のリリース内容が決定されました。
今回は、スマートフォンで発生していた問題を解決します。

続きを読む

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.6.10 をリリースしました。
本リリースでは、2系から3系へのコンバート時に発生する不具合などの修正を行なっています。
opCommunityTopicPluginのバンドルバージョンも先日リリースした 1.0.5 に更新されています。

次回のリリースは 2013年8月8日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

ドーモ、OpenPNE 開発チームのナカジマです。

先日、OpenPNE 3.6.10のリリース選定会を行いました。
そこで、次回6月13日のリリース内容が決定されました。

以下の対応を行うことに決定しましたので、お知らせします。
今回は、2系から3系へのコンバートで発生していた問題を重点解決します。

対応チケット

#3190 2系から3系にコンバートする際に正しくフォームタイプがコンバートされない
#3192 コンバート時にプロフィールの公開範囲デフォルト設定が正しくコンバートされない
#2924 コミュニティホーム画面でコミュニティ書き込み通知メールのフォームの「Save」が翻訳されない

---

バグのせいでコンバートに踏み切れなかった皆様、お待たせいたしました。
来月には決断的コンバートが可能となります。

3系に興味が無い皆様、この機に3系へのコンバートに踏み切ってはいかがでしょうか。
開発チームは現在、安定版3.6系及び新安定版3.8系のサポートに実際注力しています。
2系から3系へコンバートすることで、より細やかなアップデート、そして最新のプラグインを使用出来る可能性が約束されます。

なお、有料ではありますが、公式のサポートもあります。
コンバートが不安という方や、本格的SNS運営を視野に入れる皆様の支えになれば幸いです。

いじょうです。

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.6 をリリースしました。
本リリースでは、opJsonApiActions 内の Content-Type の設定の不具合の修正などを行なっています。

次回のリリースは 2013年7月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.4.21, 3.6.9, 3.8.5 の管理画面にて利用可能な「携帯版配色設定」という機能には XSS 脆弱性が存在します。なお、この「携帯版配色設定」機能を利用していない場合や、携帯版を無効にしている場合でも、同様に本脆弱性の影響を受けることに注意してください。

本日 (5/8)、この問題の対策版として OpenPNE 3.4.21.1, 3.6.9.1, 3.8.5.1 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

本問題について

影響を受けるシステム

以下のバージョンの OpenPNE (管理画面の「携帯版配色設定」機能を有するバージョン) を使用しているすべてのサイト

• OpenPNE 3.4.21 以下
• OpenPNE 3.6.9 以下
• OpenPNE 3.8.5 以下

※OpenPNE 3.2 系列、 OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。

脆弱性の説明

管理画面の「携帯版配色設定」機能において、ログイン済みの管理者に特定の形式のリクエストを送信させることにより、管理者のブラウザ上で任意のスクリプトを実行されてしまう可能性があります。

想定される影響

管理者のブラウザ上で任意のスクリプトを実行されてしまうことから、たとえば以下のような深刻な影響が考えられます。

• 管理者のセッション ID を窃用されてしまうことによる、管理者へのなりすまし
• 管理画面の各種機能を悪用した SNS 上のコンテンツの改竄

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

後述の根本対応がすぐにおこなえない場合、以下のいずれかひとつ、あるいは両方の対策を実施することで、この問題による影響を一時的に回避することができます。

• こまめに管理画面からログアウトする
• 管理画面にログインしたまま、メールやサイト (SNS 内、外を問わない) に記載された URL やリンクをクリックしない

管理画面を IP アドレス制限、 Basic / Digest 認証、公開鍵認証等によって保護することは、本問題の回避策としてはそれほど有効ではありません。一方で、管理画面のホスト名や、フロントコントローラのスクリプトファイル名 (デフォルトは pc_backend.php) を推測されにくいものに変更することは有効だといえますが、これらはあくまで保険的な回避策であり、いずれにしても前述の 2 つの回避策の実施は必要です。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.5.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.9.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.21.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.5.1 バージョンアップ手順書
• OpenPNE 3.6.9.1 バージョンアップ手順書
• OpenPNE 3.4.21.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

謝辞

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき IPA によって報告がなされ、 JPCERT/CC による調整をしていただきました。

報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

本日、安定版 OpenPNE 3.6.9 をリリースしました。
文言表示不具合などのBackportチケットの対応が主な修正内容となっています。

次回のバージョン3.6系のリリースは 2013年6月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

プラグインのリリースなどのOpenPNEに関する情報は
Twitterのpnetanアカウントからも入手出来ます。
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNEと一緒に配布していた、価格コム小窓機能は機能を停止することになりました。
機能の停止スケジュールは以下のとおりです。

2013/03/31 商品表示機能停止
2013/04/01～6/30 停止アナウンス期間
2013/07/01 サーバ停止（小窓の部分がエラーと表示される）

OpenPNE運営者のみなさま、6月中にカカクコム小窓のアンインストール作業をおねがいします。

アンインストール方法
cmdディレクトリから、該当するJavaScriptファイルを削除することで、アンインストールできます。

OpenPNE3
/web/cmd/kakaku.com.js

OpenPNE2
/public_html/cmd/kakaku.com.js

OpenPNE 開発チームの今村です。

本日、新安定版 OpenPNE 3.8.5 をリリースしました。
Youtube動画の小窓が表示されない問題などのBackportチケットの対応が主な修正内容となっています。

次回のリリースは 2013年5月9日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む