OpenPNE 開発チームの今村です。

本日、2013/06/11(火)、opCommunityTopicPlugin 1.0.5をリリースしました。

OpenPNE 3.6 で opCommunityTopicPlugin 1.0.4 以下を使用されている方は、opCommunityTopicPlugin 1.0.5 へのバージョンアップを実施してください。

続きを読む

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.6 をリリースしました。
本リリースでは、opJsonApiActions 内の Content-Type の設定の不具合の修正などを行なっています。

次回のリリースは 2013年7月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.4.21, 3.6.9, 3.8.5 の管理画面にて利用可能な「携帯版配色設定」という機能には XSS 脆弱性が存在します。なお、この「携帯版配色設定」機能を利用していない場合や、携帯版を無効にしている場合でも、同様に本脆弱性の影響を受けることに注意してください。

本日 (5/8)、この問題の対策版として OpenPNE 3.4.21.1, 3.6.9.1, 3.8.5.1 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

本問題について

影響を受けるシステム

以下のバージョンの OpenPNE (管理画面の「携帯版配色設定」機能を有するバージョン) を使用しているすべてのサイト

• OpenPNE 3.4.21 以下
• OpenPNE 3.6.9 以下
• OpenPNE 3.8.5 以下

※OpenPNE 3.2 系列、 OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。

脆弱性の説明

管理画面の「携帯版配色設定」機能において、ログイン済みの管理者に特定の形式のリクエストを送信させることにより、管理者のブラウザ上で任意のスクリプトを実行されてしまう可能性があります。

想定される影響

管理者のブラウザ上で任意のスクリプトを実行されてしまうことから、たとえば以下のような深刻な影響が考えられます。

• 管理者のセッション ID を窃用されてしまうことによる、管理者へのなりすまし
• 管理画面の各種機能を悪用した SNS 上のコンテンツの改竄

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

後述の根本対応がすぐにおこなえない場合、以下のいずれかひとつ、あるいは両方の対策を実施することで、この問題による影響を一時的に回避することができます。

• こまめに管理画面からログアウトする
• 管理画面にログインしたまま、メールやサイト (SNS 内、外を問わない) に記載された URL やリンクをクリックしない

管理画面を IP アドレス制限、 Basic / Digest 認証、公開鍵認証等によって保護することは、本問題の回避策としてはそれほど有効ではありません。一方で、管理画面のホスト名や、フロントコントローラのスクリプトファイル名 (デフォルトは pc_backend.php) を推測されにくいものに変更することは有効だといえますが、これらはあくまで保険的な回避策であり、いずれにしても前述の 2 つの回避策の実施は必要です。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.5.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.9.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.21.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.5.1 バージョンアップ手順書
• OpenPNE 3.6.9.1 バージョンアップ手順書
• OpenPNE 3.4.21.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

謝辞

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき IPA によって報告がなされ、 JPCERT/CC による調整をしていただきました。

報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

本日、安定版 OpenPNE 3.6.9 をリリースしました。
文言表示不具合などのBackportチケットの対応が主な修正内容となっています。

次回のバージョン3.6系のリリースは 2013年6月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

プラグインのリリースなどのOpenPNEに関する情報は
Twitterのpnetanアカウントからも入手出来ます。
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの今村です。

本日、新安定版 OpenPNE 3.8.5 をリリースしました。
Youtube動画の小窓が表示されない問題などのBackportチケットの対応が主な修正内容となっています。

次回のリリースは 2013年5月9日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの今村です。

本日、バレンタインデーに安定版 OpenPNE 3.6.8 をリリースしました。
Youtube動画の小窓が表示されない問題などのBackportチケットの対応が主な修正内容となっています。

次回のバージョン3.6系のリリースは 2013年4月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE開発チームの 今村 です。

本日 2013/01/30、「2013/01/30 WILLCOM のIPアドレス帯域追加」に伴う、OpenPNEのIPアドレス帯域リストの更新をおこないました。
OpenPNEの携帯版を利用している方はSNSに反映をお願いします。

更新内容の詳細

https://redmine.openpne.jp/versions/297
こちらのページにて更新内容が確認できます。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをダウンロードできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

あけましておめでとうございます。

OpenPNE開発チームの 今村 です。

本日 2013/01/11、「2012/12/31 WILLCOM のIPアドレス帯域削除」に伴う、OpenPNEのIPアドレス帯域リストの更新をおこないました。
OpenPNEの携帯版を利用している方はSNSに反映をお願いします。

更新内容の詳細

https://redmine.openpne.jp/versions/296
こちらのページにて更新内容が確認できます。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.4 をリリースしました。
今回のリリースでは、4バイト文字を含む文字列の投稿の際の不具合やプラグインの無効時のデータ削除操作の際の不具合など管理側の機能を主に対応しました。

また、先日12月3日に報告させていただきました「サーバ上ファイルの漏洩に繋がる脆弱性」につきましても、原因となっているOpenPNE 3 が使用している Web アプリケーションフレームワークの symfonyが提供する対策パッチを今回のリリースより適用済みとなっております。
バージョンアップをお考えでないSNS管理者の方も今一度ご確認をよろしくお願いいたします。
当問題の詳細はこちらをご覧ください。

次回のリリースは 2013年3月14日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの石切山です。

本日、安定版 OpenPNE 3.6.7 をリリースしました。
今回のリリースでは、4バイト文字を含む文字列の投稿の際の不具合やプラグインの無効時のデータ削除操作の際の不具合など管理側の機能を主に対応しました。

また、先日12月3日に報告させていただきました「サーバ上ファイルの漏洩に繋がる脆弱性」につきましても、原因となっているOpenPNE 3 が使用している Web アプリケーションフレームワークの symfonyが提供する対策パッチを今回のリリースより適用済みとなっております。
バージョンアップをお考えでないSNS管理者の方も今一度ご確認をよろしくお願いいたします。
当問題の詳細はこちらをご覧ください。

次回のリリースは 2013年2月14日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む