OpenPNE開発チームのきわです。

2011/1 au のIPアドレス帯域追加に伴って、OpenPNEのIPアドレスリストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

次回の更新

次回のリリースは2011/6/24(金) を予定しています。

2011/06/24

docomo (2011年7月予定)IPアドレス帯域追加対応 リリース

OpenPNE 3 には、画像動的生成処理が適切におこなわれないことによる、サービス運用妨害 (DoS) 攻撃を許す脆弱性が存在します。

本日（12/22）、この問題の対策版として OpenPNE 3.0.8.3, 3.2.7.4, 3.4.9.2, 3.6beta8 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

3.0.8.2 以下、 3.2.7.3 以下、 3.4.9.1 以下、 3.6beta7 以下の OpenPNE を使用しているすべてのサイト。

※OpenPNE 2 を使用しているサイトは影響を受けません。

概要

OpenPNE 3 には、ユーザの投稿した画像を、ユーザのリクエストに応じて、動的にリサイズ、形式変換し、静的なファイルとしてキャッシュした上で表示する機能があります。一度生成されたものと同一のサイズ、同一の形式の画像のリクエストについては、キャッシュファイルを直接レスポンスすることで、負荷を抑えるような対応がおこなわれていました。

この機能の実装に誤りがあり、特定の形式の画像表示用の URL に対しリクエストがおこなわれた場合に、常に画像バイナリを DB などのストレージから取得し、形式変換等の処理をおこなってしまう問題が存在していました。画像を動的に取得、変換、生成して表示する処理は、静的にキャッシュしたファイルを表示するよりもはるかにコストの高い処理となります。そのため、そのようなリクエストを集中して実行されることで、 Web サーバがサービスを提供できない状態を引き起こされてしまいます。

想定される影響

この脆弱性を利用したサービス運用妨害 (DoS) 攻撃を受けた場合、 Web サーバが過負荷状態となり、その Web サーバ上で動作するアプリケーションなどが利用できなくなる可能性があります。

対策方法・回避方法

対策方法については、本エントリの「本問題への対応方法」をご覧ください。

この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示したバージョンの OpenPNE を利用しているすべての SNS は、対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta8

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.9.2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.7.4

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.0.8.3

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下から確認することができます。

• OpenPNE 3.6beta8 バージョンアップ手順書 (バージョンが 3.4 と表記されていますが、この手順は 3.6.x でも有効なものです)
• OpenPNE 3.4.9.2 バージョンアップ手順書
• OpenPNE 3.2.7.4 バージョンアップ手順書
• OpenPNE 3.0.8.3 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

謝辞

本問題は、 OpenPNE 公式 SNS 内の NUP 様よりご報告いただきました。厚く御礼申し上げます。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

今村です。

OpenPNE2.14.9のリリースを12/22（水）に予定していましたが、
実装の目処が立たず、リリース日を変更が必要と判断いたしました。
スケジュールについても現在検討中で、延期後のリリース日については未定です。

スケジュールが決定次第、こちらのブログで連絡いたします。

OpenPNE 2.14.9 修正予定バグ

リリースをお待ち頂いている皆様にはご迷惑をおかけしますが、
何卒ご理解頂きますようよろしくお願いいたします。

今村です。

OpenPNE3.4.10のリリースを12/9（木）に予定していましたが、
実装の目処が立たず、リリース日を変更が必要と判断いたしました。
スケジュールについても現在検討中で、延期後のリリース日については未定です。

スケジュールが決定次第、こちらのブログで連絡いたします。

OpenPNE 3.4.10 修正予定バグ

リリースをお待ち頂いている皆様にはご迷惑をおかけしますが、
何卒ご理解頂きますようよろしくお願いいたします。

OpenPNE 3 には、セッション管理の不備に関する複数の脆弱性が存在します。

本日（12/8）、この問題の対策版として OpenPNE 3.0.8.2, 3.2.7.3, 3.4.9.1, 3.6beta7 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

3.0.8.1 以下、 3.2.7.2 以下、 3.4.9 以下、 3.6beta6 以下の OpenPNE を使用しており、以下のどちらかまたはすべての条件を満たしているサイト。

1. セッションストレージにデータベースを設定している
2. 他の OpenPNE 3 とセッション保存先を共有している

※OpenPNE 2 を使用しているサイトは影響を受けません。

概要

OpenPNE のセッション管理が以下に説明するように不適切であったために、ログイン状態の継続などが正しくおこなえない状態にありました。

・(3.0.x を除く) セッションストレージとしてデータベースを使用していた場合に、セッションの継続に用いられるセッション ID を誤った形で保存していました。セッション ID で使われる文字種は、 PHP の設定により異なりますが、少ない場合でも 0-9, a-f となります。しかし、データベース内のセッション保存用のテーブルを誤った設定で構築していたため、本来のセッション ID の数値部分しか保存しない状態にありました。このような状態ではセッション ID が頻繁に衝突するようになるため、自分のセッション ID が他のユーザが使っているセッション ID とみなされてしまうことがあります。また、セッション ID が容易に推測可能であるため、なりすましの危険も高くなります。

・他の OpenPNE 3 とセッション保存先を共有していた際に、他方の SNS 向けのセッション ID をそのまま受け入れてしまう問題がありました。セッションを共有している A と B の SNS があったとして、 A のセッション ID を使って B にアクセスすることで、 A ではメンバー ID が 1 のメンバーが B でもメンバー ID が 1 であるとみなされてしまいます。複数の OpenPNE 間でセッション保存先を共有するのは OpenPNE では想定された使用方法であるはずでした。

想定される影響

条件を満たす SNS において、意図せずに、または故意に別のメンバーとしてアクセスできてしまうことで、非公開情報の漏洩などを許してしまう可能性があります。

対策方法・回避方法

対策方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

一時的にこの問題を回避する場合、以下のすべての対策を採ってください。

セッションストレージとしてデータベースを使用しない

ファイルストレージもしくは memcached を使用する

他の OpenPNE 3 とセッション保存先を共有しない

ファイルストレージの場合は ProjectConfiguration.class.php でセッションの保存先パスを他の OpenPNE 3 と別のものに設定する

memcached を使用している場合は、 OpenPNE.yml でセッションの保存先が他の OpenPNE 3 と別のものになるよう設定してください。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たした OpenPNE を利用しているすべての SNS は、対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

なお、マイナーバージョンアップや修正パッチの適用をおこない、 OpenPNE.yml の check_session_site_identifier の値が true のままであると、既存のすべてのセッションが無効になります。この件についての詳細は、「既存のセッションが無効になることについて」をご覧ください。

OpenPNE 3.6beta7

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.9.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.7.3

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.0.8.2

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施した後、セッションを DB に正しく保存できるようにするためのコマンドを実行します。

各バージョンのマイナーバージョンアップ手順書は以下から確認することができます。

• OpenPNE 3.6beta7 バージョンアップ手順書 (バージョンが 3.4 と表記されていますが、この手順は 3.6.x でも有効なものです)
• OpenPNE 3.4.9.1 バージョンアップ手順書
• OpenPNE 3.2.7.3 バージョンアップ手順書
• OpenPNE 3.0.8.2 バージョンアップ手順書

通常のマイナーバージョンアップが完了した後、以下のコマンドを実行してください。

$ ./symfony openpne:fix-session-db

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate
$ ./symfony openpne:fix-session-db

既存のセッションが無効になることについて

これは、他の OpenPNE とセッション保存先を共有しても問題にならないよう、セッションデータの形式を変更したために発生する現象です。

セッションが無効になると、ログイン中のメンバーが一斉にログアウトすることになるため、編集中の日記などの情報が失われたり、多くのメンバーが一斉にログインを試みようとすることから一時的に負荷が高くなるといったことが起こりえます。そのため、事前に予告をしたうえで本脆弱性への対応を実施することをお勧めします。

セッションをデータベースに保存しておらず、他の OpenPNE とセッション保存先を共有していないサイト (つまり本脆弱性の影響を受けないサイト) で、既存のすべてのセッションが無効になってしまっては都合が悪い場合、 OpenPNE.yml にて check_session_site_identifier を false に変更することで、セッションデータの形式がバージョンアップ前と同様のものになるため、既存のすべてのセッションが無効になるのを防ぐことができます。

check_session_site_identifier: false

セッションをデータベースに保存している場合

セッションをデータベースに保存している場合は、 check_session_site_identifier を false に変更したとしても、既存のセッションがすべて無効になります。この場合、既存のセッションが無効になることについての回避策は存在しません。

本脆弱性への対策をおこなっていない OpenPNE 3 でセッションをデータベースに保存していた場合、そのセッションの ID は安全なものではなく、この状態で運営を続けることは極めて危険です。早急に「対策方法・回避方法」で示している対応を実施してください。

OpenPNE開発者の川原さんと手嶋が、OpenPNE3についてのアドベントカレンダーに取り組んでいます。

１２月１日から２４日まで、１日一章ずつ記事を掲載してきいます。

川原さんはOpenPNE3のプラグイン開発について。
手嶋はOpenPNEがあればオフィスはいらない。と題して、会社全体でOpenPNEを導入し、運営していくためのガイドを作成しています。

川原：OpenPNE 3.6 Advent Calendar

手嶋：OPVC OpenPNEがあればオフィスはいらない

誤字があるよ、こっちの言い回しがよくない？一章書いてみたいんだけど、などフィードバックは大歓迎です。OpenPNEを普及させるために、応援をお願いします。

OpenPNE 開発チームの海老原です。

タスクの進捗状況などを検討した結果、 2010 年 11 月末のリリースを予定していた OpenPNE 3.6.0 のリリースを、 2011 年 1 月末以降に延期することに決めました。告知が遅くなってしまい申し訳ありません。

ベータ版の各バージョンのリリース計画はいったん白紙に戻させていただき、決定次第順次告知していきたいと思います。

(なお、この延期が、今後の OpenPNE 3.4 のサポート期間に影響を及ぼすことはないことを念のため申し添えておきます。 OpenPNE 3.4 のサポート期間は、 OpenPNE 3.8 のベータ版リリースまでです。通常通りリリースがおこなえていれば、 OpenPNE 3.8 のベータ版は OpenPNE 3 系のリリース規則のお知らせ で明記しているとおり、 2011 年の 1 月にリリースされているはずで、 OpenPNE 3.4 のサポートは 2011 年の 1 月までの 1 年間、ということになるはずでした。しかし、現実には OpenPNE 3.6 がまだリリースできない状態が続いており、 OpenPNE 3.8 の開発に入ることができていないため、 OpenPNE 3.4 は少なく見積もってあと半年はサポートが継続することになります)

以下、延期の理由について説明します。

続きを読む

OpenPNE開発チームのきわです。

2010/12 au のIPアドレス帯域追加に伴って、OpenPNEのIPアドレスリストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

次回の更新

次回のリリースは2010/12/24(金) を予定しています。

2010/12/24

au IPアドレス帯域追加対応 リリース

OpenPNE 開発チームの卜部です。

本日、安定版 OpenPNE 3.4.9 をリリースしました。
今回は、すでに OpenPNE 3.6beta 版に取り込まれた修正で安定版として取り込んでも問題のない修正を含んでいます。

次回のリリースは12月9日を予定しています。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.4.9(zipアーカイブ) は以下のボタンからダウンロードできます。

• zip版ダウンロード

パッケージの詳細はこちらになります。
OpenPNE 3.4.9

インストール

OpenPNE 3.4.9 の場合は、同梱の OpenPNE3.4 セットアップ手順 をご覧ください。

3.2.x から 3.4 へのアップグレード、3.4 の以前のバージョンからのマイナーバージョンアップを行う場合は、このドキュメントを参考ください。

続きを読む

サーバカウボーイで、OpenPNE3.4のインストール機能付きレンタルサーバの新サービスがリリースされました。詳しくはリリースを御覧ください。

手嶋からエンドースメントを行っています。

「あらゆる組織に OpenPNE を提供する」このミッションに向かい、私たちは OpenPNE プロジェクトを進めています。今回のサービス発表によって、手軽に OpenPNE を使っていただき、より多くの組織の運営に役立ててもらうことを期待しています。私たちの活動を、このようにサポートしてくれるサーバーカウボーイに感謝します。

また、今回、サーバカウボーイのご好意で、OpenPNEコミュニティ専用枠として、1年間無料使用権を20本いただきました。こちらはOpenPNE公式コミュニティ内で近日中に案内しますので、ぜひご参加下さい。

プレスリリース：ファーストサーバ、月額 416 円からのレンタルサーバー「サーバーカウボーイ」
簡単インストール機能にアプリケーション 5 種を新たに追加