-オープンソースのSNSエンジン OpenPNEプロジェクト-

OpenPNEからのおしらせ

Home

OpenPNE3のスマートフォン対応について

07 / 01 金曜日 2011

OpenPNE 開発チームの國忠です。

OpenPNE3のスマートフォン対応について最近動き始めましたのでご連絡です。

このブログはオフィシャルな情報をフォーマルにお知らせする雰囲気なので、

別のブログでカジュアルに緩い感じで開発の進捗状況を書いていこうと思います。

↓のブログになります。

http://d.hatena.ne.jp/openpne/20110630/1309464123

安定版 OpenPNE 3.4.14 リリースのお知らせ

06 / 27 月曜日 2011

OpenPNE 開発チームの坂田です。

本日、安定版 OpenPNE 3.4.14 をリリースしました。
https://www.openpne.jp/archives/6105/でお知らせした通り、SoftBankの携帯端末においてSSL通信の仕様変更に伴う修正をリリースしました。

次回のリリースは 2011年8月11(木) を予定しています。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.4.14(zipアーカイブ) は以下のボタンからダウンロードできます。

  • zip版ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.4.14

インストール

OpenPNE 3.4.14 のインストールは、OpenPNE3.4 セットアップ手順 を確認ください。

3.2.x から 3.4 へのアップグレード、3.4 の以前のバージョンからのマイナーバージョンアップを行う場合は、このドキュメントを参考ください。

続きを読む

OpenPNE 3.6beta11 リリースのお知らせ

06 / 24 金曜日 2011

OpenPNE 開発チームの今村です。

本日 2011/6/24 (金)、開発版 OpenPNE 3.6beta11 をリリースしました。

今回のリリースには、Yahoo! ケータイにおける SSL 仕様変更対応が含まれています。
Yahoo! ケータイにおける SSL 仕様変更についての詳細は下記のリンクを御覧ください。
http://creation.mb.softbank.jp/web/web_ssl.html

次回の開発版 OpenPNE 3.6beta12 のリリースは、 7 月 22 日となる予定です。

続きを読む

OpenPNE 3.4.14 リリース日、変更のお知らせ

06 / 23 木曜日 2011

OpenPNE 開発チームの坂田です。

安定版 OpenPNE 3.4.14 リリース日を2011年7月14日(木)から2011年6月27(月)に変更いたします。
SoftBankの携帯端末においてSSL通信の仕様が6月末に変更されるため、その仕様変更が実施される前に
リリースをおこないための対応となります。

今後のリリース予定は以下のようになります
■OpenPNE 3.4.14
– 2011年7月14日(木) → 2011年6月27(月) に前倒し
■OpenPNE 3.4.15
– 2011年8月11日(木) のまま変更なし

OpenPNE 3.4.14 の対応項目は下記を予定しています。

OpenPNE 3.4.14 ロードマップ

OpenPNE関連サービスにおけるサーバ障害についてのお知らせ

06 / 18 土曜日 2011

OpenPNE開発チームの小川です。

本日発生いたしました、OpenPNE関連サービスにおけるサーバ障害についてお知らせします。

現在、すべてのサービスが正常に復旧していることを確認しております。
停止中はご不便をおかけして申し訳ございませんでした。今後ともOpenPNEをよろしくお願いいたします。

【追記】
6/19 0:15〜1:48 の間、sns.openpne.jp および plugins.openpne.jp において再度アクセス不能な状態となっておりましたが、復旧いたしました。

発生日時

2011年6月18日 13:43 〜 20:20

影響

障害発生期間中、以下のドメインで提供しているすべてサービスにアクセス不能となった。

  • www.openpne.jp
  • sns.openpne.jp
  • redmine.openpne.jp
  • plugins.openpne.jp
  • update.openpne.jp
  • ci.openpne.jp

原因

サーバホスティング先でのハードウェア障害。

opWebAPIPlugin 0.5.0 をリリースしました

06 / 17 金曜日 2011

OpenPNE 開発チームの真吾です。

本日 2011/06/17 (金)、 opWebAPIPlugin 0.5.0 をリリースしました。

続きを読む

安定版 OpenPNE 3.4.13 リリースのお知らせ

06 / 09 木曜日 2011

OpenPNE 開発チームの坂田です。

本日、予定通り安定版 OpenPNE 3.4.13 をリリースしました。

次回のリリースは 2011年7月14(木) を予定しています。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.4.13(zipアーカイブ) は以下のボタンからダウンロードできます。

  • zip版ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.4.13

インストール

OpenPNE 3.4.13 のインストールは、OpenPNE3.4 セットアップ手順 を確認ください。

3.2.x から 3.4 へのアップグレード、3.4 の以前のバージョンからのマイナーバージョンアップを行う場合は、このドキュメントを参考ください。

続きを読む

【緊急リリース】 opAuthMobileUIDPlugin 1.0.0 および opAuthMobileUIDPlugin 1.3.1 以下におけるログイン処理の実装不備に関するなりすましログインの脆弱性のお知らせ (OPSA-2011-002)

05 / 16 月曜日 2011

opAuthMobileUIDPlugin 1.0.0 および opAuthMobileUIDPlugin 1.3.1 以下にはログイン処理の実装に誤りがあり、なりすましログインがおこなわれてしまう問題が存在しています。

本日(05/16)、この問題の対策版として opAuthMobileUIDPlugin 1.0.0.1、opAuthMobileUIDPlugin 1.3.1.1 のリリースをおこないました。また、この問題を引き起こした OpenPNE 側の実装不備の修正のために OpenPNE 3.4.12.1、 OpenPNE 3.6beta10 のリリースも併せておこないました。

内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

  • opAuthMobileUIDPlugin 1.0.0 もしくは opAuthMobileUIDPlugin 1.3.1 以下を利用しており、以下のすべての条件を満たしているサイト
    • OpenPNE 2 からのアップグレードをおこなっている
    • そのアップグレード作業が OpenPNE 3.4.12 以下もしくは OpenPNE 3.6beta9 以下のバージョンを利用しておこなわれた

概要

opAuthMobileUIDPlugin に実装上の不備があり、 OpenPNE 2 からのアップグレードをおこなった OpenPNE 3 に対して特定の操作をおこなうことで、なりすましログインがおこなわれてしまう問題がありました。

想定される影響

なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更を、なりすましたメンバーの権限でおこなわれてしまう可能性があります。

ただし、なりすましの対象となるメンバーは特定の条件を満たしている必要があり、悪意のあるユーザが自由にメンバーを選択できるというものではありません。

対応方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

以下のいずれかを実施することで、この問題を回避することができます。

  • 管理画面の「SNS 設定」において、「携帯版使用設定」を「使用しない」に設定する
  • 管理画面の「プラグイン設定」内「認証プラグイン設定」において、 opAuthMobileUIDPlugin を無効にする

謝辞

本問題は、囲碁SNS goxi 管理人 政光順二様よりご報告いただきました。厚く御礼申し上げます。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下のすべての対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta10
[.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.12.1
[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

今回対策されたプラグインのうち、バンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、各プラグインのリリース情報を参考に更新をおこなってください。

opAuthMobileUIDPlugin
opAuthMobileUIDPlugin-1.0.0.1
opAuthMobileUIDPlugin-1.3.1.1

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください[email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

安定版 OpenPNE 3.4.12 リリースのお知らせ

05 / 12 木曜日 2011

OpenPNE 開発チームの坂田です。

本日、安定版 OpenPNE 3.4.12 をリリースしました。

次回のリリースは 2011年6月9(木) を予定しています。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.4.12(zipアーカイブ) は以下のボタンからダウンロードできます。

  • zip版ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.4.12

インストール

OpenPNE 3.4.12 のインストールは、OpenPNE3.4 セットアップ手順 を確認ください。

3.2.x から 3.4 へのアップグレード、3.4 の以前のバージョンからのマイナーバージョンアップを行う場合は、このドキュメントを参考ください。

続きを読む

【緊急リリース補足】PHP 5.3.4 以降で OpenPNE プラグインが導入できない問題について

04 / 21 木曜日 2011

※このエントリは「【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001)」の補足記事となります。

「【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001)」でお知らせしたように、先の脆弱性への対応版としてリリースされた OpenPNE 3.0.8.4, 3.2.7.5, 3.4.10.1, 3.6beta9 では、「PHP 5.3.4 以降で OpenPNE プラグインが導入できない」問題についての対応もおこなわれています。本エントリでは、この問題についての解説をおこなっていきます。

本問題について

影響を受けるシステム

OpenPNE 3.0.8.3 以下、 3.2.7.4 以下、 3.4.11 以下、 3.6beta8 以下を、 PHP 5.3.4 以降で動作させているサイト

概要

OpenPNE 3 で利用しているバージョンの PEAR::Archive_Tar (tar アーカイブを扱うライブラリ) に存在していたバグと、 PHP 5.3.4 以降に加わったセキュリティ面での改善が組み合わさることで、「openpne:install、openpne:migrate や opPlugin:install といったコマンドの実行時に、特定の条件を満たしたプラグインのインストールが途中で失敗する」という問題が発生していました。

なお、技術的な詳細については本件の対応をおこなったチケットに記されておりますので、そちらをご覧ください。

回避方法

同梱されている Archive_Tar を新しいバージョンに差し替えることで、この問題を回避することができます。

最新の Archive_Tar は http://pear.php.net/package/Archive_Tar/download からダウンロードすることができます。ダウンロードしたアーカイブを展開し、 OpenPNE 3 の lib/vendor/PEAR/Archive/Tar.php を 展開ディレクトリの Archive/Tar.php と差し替えてください。

なお、 PHP 5.3.3 以下で動作させるようにすることでもこの問題を回避することができますが、 PHP のバージョンを落とすということは、最新版で修正済みのバグやセキュリティ脆弱性の影響を受けたり、性能の低下などのリスクを冒すことになるため、推奨しません。

本問題への対応方法

「【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001)」でご案内している手順により、対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

本件に関するお詫び

末筆ながら、以下二点に関してお詫び申し上げます。誠に申し訳ございませんでした。

  • OPSA-2011-001 の脆弱性と本件という、まったくの別事象に関する修正をまとめて緊急リリースせざるを得ず、このように判りにくい告知になってしまったこと
  • 本件は実質的に OpenPNE のインストールがおこなえないという致命的な問題であるにも関わらず、発覚からおよそ 3 ヶ月間対応されないままであったこと
アーカイブ
最近の記事
タグ一覧

ページの先頭に戻る