OpenPNE 開発チームの今村です。

本日、バレンタインデーに安定版 OpenPNE 3.6.8 をリリースしました。
Youtube動画の小窓が表示されない問題などのBackportチケットの対応が主な修正内容となっています。

次回のバージョン3.6系のリリースは 2013年4月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE開発チームの 今村 です。

本日 2013/01/30、「2013/01/30 WILLCOM のIPアドレス帯域追加」に伴う、OpenPNEのIPアドレス帯域リストの更新をおこないました。
OpenPNEの携帯版を利用している方はSNSに反映をお願いします。

更新内容の詳細

https://redmine.openpne.jp/versions/297
こちらのページにて更新内容が確認できます。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをダウンロードできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

あけましておめでとうございます。

OpenPNE開発チームの 今村 です。

本日 2013/01/11、「2012/12/31 WILLCOM のIPアドレス帯域削除」に伴う、OpenPNEのIPアドレス帯域リストの更新をおこないました。
OpenPNEの携帯版を利用している方はSNSに反映をお願いします。

更新内容の詳細

https://redmine.openpne.jp/versions/296
こちらのページにて更新内容が確認できます。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.4 をリリースしました。
今回のリリースでは、4バイト文字を含む文字列の投稿の際の不具合やプラグインの無効時のデータ削除操作の際の不具合など管理側の機能を主に対応しました。

また、先日12月3日に報告させていただきました「サーバ上ファイルの漏洩に繋がる脆弱性」につきましても、原因となっているOpenPNE 3 が使用している Web アプリケーションフレームワークの symfonyが提供する対策パッチを今回のリリースより適用済みとなっております。
バージョンアップをお考えでないSNS管理者の方も今一度ご確認をよろしくお願いいたします。
当問題の詳細はこちらをご覧ください。

次回のリリースは 2013年3月14日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの石切山です。

本日、安定版 OpenPNE 3.6.7 をリリースしました。
今回のリリースでは、4バイト文字を含む文字列の投稿の際の不具合やプラグインの無効時のデータ削除操作の際の不具合など管理側の機能を主に対応しました。

また、先日12月3日に報告させていただきました「サーバ上ファイルの漏洩に繋がる脆弱性」につきましても、原因となっているOpenPNE 3 が使用している Web アプリケーションフレームワークの symfonyが提供する対策パッチを今回のリリースより適用済みとなっております。
バージョンアップをお考えでないSNS管理者の方も今一度ご確認をよろしくお願いいたします。
当問題の詳細はこちらをご覧ください。

次回のリリースは 2013年2月14日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE開発チームの 今村 です。

昨日、WILLCOM のIPアドレス帯域削除を行いましたが、キャリア側にて削除が延期されたため、OpenPNE側でも削除の取り消しを行いました。
OpenPNEの携帯版を利用している方は、2012/12/07 リリース分のIPアドレス帯域リストをSNSに反映してください。
連日のリリースとなってしまい、お手数をおかけいたしますがよろしくお願いします。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

OpenPNE開発チームの 今村 です。

本日 2012/12/06、WILLCOM と au のIPアドレス帯域削除に伴い、OpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

すべてのバージョンの OpenPNE 3 にはサーバ上ファイルの漏洩に繋がる脆弱性が存在します。この脆弱性は OpenPNE 3 が使用している Web アプリケーションフレームワークの symfony において発覚した、以下の脆弱性 (CVE-2012-5574) に由来するものです。

Security release: symfony 1.4.20 released – Symfony

http://symfony.com/blog/security-release-symfony-1-4-20-released

Secunia Advisory SA51372 : Symfony Arbitrary File Disclosure Vulnerability

http://secunia.com/advisories/51372/

本脆弱性は、 OpenPNE 3 およびバンドルプラグインのソースコードに変更を加えずに運営している場合においては、影響が極めて限定的なものとなるため、緊急の対策版リリースは実施しません (脆弱性への修正は通常リリースにておこなう予定です)。

しかしながら、サイトの運用状況や、ソースコードの変更内容によっては、本脆弱性により無視のできない影響を受けることがあります。 OpenPNE 3 によるサイトを運営する方は、本エントリの内容を確認し、脆弱性によって発生するリスクを受容できないと判断できる場合は、早急な対策をおこなうことを強く推奨します。

本問題について

影響を受けるシステム

「画像以外のファイルアップロード機能を、 OpenPNE 3 のソースコードを改変するか、もしくはプラグインを導入することによって追加しているサイト」 (以下、「影響を受けるシステム A」と呼称します) は、本脆弱性によって甚大な影響を受ける可能性があります。

また、以下の OpenPNE を使用しているサイト (以下、「影響を受けるシステム B」と呼称します) は、本脆弱性による限定的な影響を受ける可能性があります。

• OpenPNE 3.8.3 以下、 OpenPNE 3.6.6 以下、 OpenPNE 3.4.21 以下、 OpenPNE 3.2.7.6 以下、 OpenPNE 3.0.8.5 以下のすべてのバージョン

「影響を受けるシステム B」において、画像のファイルアップロード機能を有するプラグインを使用している場合、その機能も同様に限定的な影響を受けます。バンドルプラグインのなかで該当するものは以下の通りです。

• opAlbumPlugin
• opCommunityTopicPlugin
• opDiaryPlugin
• opMessagePlugin

脆弱性の説明

symfony にて提供されているフォームフレームワークには、ファイルの送信をおこなう際のリクエストの検証に不備があり、特定の形式のパラメータを含むことで、 Web アプリケーションが設置されているサーバ上のファイル をアップロードすることができてしまうという問題があります。

この実装上の問題を悪用し、 Web サーバの権限で読み込み可能な任意のファイルを Web サーバの公開領域にアップロードさせることで、攻撃者はそのファイルの内容 (データベースの接続情報など) を取得することができます。

OpenPNE では、このフォームフレームワークを使用してフォームの構築や入力値の検証をおこなっています。したがって、ファイルのアップロードを受け付けるほとんどすべての場面において本脆弱性の影響を受けることになります。

想定される影響

• 「影響を受けるシステム A」においては、本脆弱性によって、 Web サーバの権限によって読み取り可能なサーバ上のすべてのファイルの情報 (データベースの接続情報なども含まれます) を悪意のある攻撃者によって不正に取得される危険性があります
• 「影響を受けるシステム B」においては、本脆弱性によって、 Web サーバの権限によって読み取り可能な サーバ上のすべての画像ファイルの情報を悪意のある攻撃者によって不正に取得される危険性があります

このうち、「影響を受けるシステム A」に関する影響は甚大であると考えられます。

一方で、「影響を受けるシステム B」については、影響はほとんど限定的です。 OpenPNE 自身に同梱された画像ファイルは既に世間一般に公開されているものです。また、画像ファイルアップロード機能によりアップロードされた画像自体には公開範囲の制限がありません。そのため、この脆弱性を利用することで攻撃者が新たに取得可能になる情報はないと考えられます。ただし、運用上の都合等によって サーバ上に秘密の画像を設置しているようなケースでは、本脆弱性によりその画像を取得される危険があります。

対策方法

以下のいずれかの対応をおこなうことで、本脆弱性の影響を防ぐことができます。

• 1. symfony の配布するパッチを適用する
• 2. ファイルアップロードが可能な機能に対するアクセスを、 Web サーバの設定等によって制限する

ただし、「2. ファイルアップロードが可能な機能に対するアクセスを、 Web サーバの設定等によって制限する」については、お使いのプラグイン等によって設定方法が異なるため、ここでは、「1. symfony の配布するパッチを適用する」の対応についてのみ説明いたします。

パッチの適用方法

• 1. http://trac.symfony-project.org/changeset/33598?format=diff&new=33598 から入手できる対策パッチを、 OpenPNE を設置しているディレクトリにアップロードします
• 2. SSH でログインし、 1. のディレクトリに移動します
• 3. 以下のコマンドを実行します

$ patch -d ./lib/vendor/symfony -p3 < パッチファイル名

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.3 をリリースしました。
今回のリリースでは、Core 機能に含まれるバグをメインに修正しました。

次回のリリースは 2013年1月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE開発チームの 今村 です。

本日 2012/11/05、WILLCOMの「削除IPアドレス帯域（2012年3月8日削除分）」の対応のため、OpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

今回のリリースの経緯ですが、2012/11/01のリリース後に、重複しているIPアドレスがあることがわかりました。調査の結果、2012年3月8日の時点で削除されるべきIPアドレスが削除されていませんでした。今回のリリースは、その削除されるべきIPの削除対応になります。
IP帯域リストの削除漏れによる、SNSへの影響は特にありません。
ご心配をお掛けして申し訳ありませんでした。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php