本日、OpenPNE2・OpenPNE3 で発覚した複数の脆弱性について対応リリース・パッチの提供をおこないました。
バージョンごとに対応が異なりますので、内容をご確認の上バージョンアップまたはパッチの適用をお願いします。

対応内容

Google マップ 小窓にクロスサイトスクリプティング（XSS）脆弱性

Google マップ 小窓にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。

Google マップ 小窓についての説明は以下をご覧ください。

OpenPNE小窓機能紹介

https://www.openpne.jp/cmd/

小窓の使い方 – Google マップ 小窓

https://www.openpne.jp/cmd/list/#maps.google.co.jp

影響を受けるシステム

Google マップ 小窓を有効にしている全てのOpenPNE2 OpenPNE3

応急処置方法

OpenPNE2

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」＞「CMD設定」にて以下の小窓を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。

• maps.google.co.jp
• maps.google.com
• www.google.co.jp
• www.google.com

OpenPNE3

応急処置方法はありません。早急なバージョンアップをお願いします。

コメント返信補助機能設定にクロスサイトスクリプティング（XSS）脆弱性

コメント返信補助機能にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、閲覧者の個人情報漏洩やなりすましログインを許してしまう可能性があります。

影響を受けるシステム

コメント返信補助機能を有効にしている OpenPNE2.14

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」＞「SNS設定」にて「コメント返信補助機能設定」を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。

OpenPNE3 の複数箇所でクロスサイトリクエストフォージュリ(CSRF)脆弱性

OpenPNE3 の一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

全てのOpenPNE3

応急処置方法

応急処置方法はありません。早急なバージョンアップをお願いします。

opCommunityTopicPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opCommunityTopicPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opCommunityTopicPlugin 0.9 (OpenPNE3.2対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opCommunityTopicPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opOpenSocialPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opOpenSocialPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opOpenSocialPlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opOpenSocialPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opFavoritePluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opFavoritePluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opFavoritePlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opFavoritePlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opIntroFriendPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opIntroFriendPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opIntroFriendPlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opIntroFriendPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

本問題への対応方法

これらの問題への対応方法は次の通りです。

OpenPNE2

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 2.8.11.1

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.10.13.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.12.20.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.14.7.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

■ 2010/08/11 18:28 追記
OpenPNE2 の全ての対応パッチについて、version.php が変更されない不備があったため、改めてパッチを作り直しました。
18:28 以前にパッチを適用された方は、お手数ですが手動で　webapp/version.php にあるOpenPNEのバージョンを変更してください。

マイナーバージョンアップ手順

以下、OpenPNEをそのまま設置したノンカスタマイズ状態のSNSのバージョンアップ手順となります。

1. config.php のバックアップをとります（ダウンロードなど）
2. マイナーバージョンアップする新しいOpenPNEをダウンロードし、現在設置されているSNSと同じ階層のディレクトリに解凍します
3. 1でバックアップをとったconfig.phpを 2 のディレクトリにコピーします
4. 新規設置の手順と同じように、varディレクトリのパーミッションを 777 に変更します
5. 古いOpenPNEのディレクトリの名前を変更し、新しいOpenPNEと置き換えます

例:
【旧】 mysns/
【新】 OpenPNE-2.14.7.1/
↓ディレクトリ名を変更
【旧】 old_mysns/
【新】 mysns/

以上でマイナーバージョンアップは完了です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリ（OPENPNE_DIR）にパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p0 < パッチファイル名

OpenPNE3

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.0.8.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.7.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.6.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6beta2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

■ 2010/08/11 19:33 追記
OpenPNE3 の全ての対応パッチについて、正しい差分になっていなかったためパッチを作り直しました。
19:33 以前にパッチを適用された方は、お手数ですが一度古いパッチで逆マージを行い変更を取り消した上で、新しいパッチの適用をお願いします。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書をご覧ください。

• OpenPNE3.0.8.1
• OpenPNE3.2.7.1
• OpenPNE3.4.6.1
• OpenPNE3.6beta2

このドキュメントの手順はマイナーバージョンアップにも有効です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE3 プラグイン

OpenPNE3 本体のマイナーバージョンアップを行うとプラグインのバージョンアップも自動的に行われます。
そのため、バンドルされているプラグインを個別でバージョンアップする必要ありません。
今回対応されたプラグインについて、バンドルされていないバージョンを使用している場合は各プラグインのリリース情報を参考に更新を行ってください。

opIntroFriendPlugin

opIntroFriendPlugin-0.8.0.1

opIntroFriendPlugin-0.9.0.1

opFavoritePlugin

opFavoritePlugin-0.9.0.1

opFavoritePlugin-1.0.0.3

opOpenSocialPlugin

opOpenSocialPlugin-0.8.2.1

opOpenSocialPlugin-0.9.8.1

opOpenSocialPlugin-1.0.3.1

opOpenSocialPlugin-1.2.0.1

opCommunityTopicPlugin

opCommunityTopicPlugin-0.9.7.1

opCommunityTopicPlugin-1.0.0.2

OpenPNE 開発チームの今村です。

本日、安定版OpenPNE2.14.7.1 と 旧安定版2.12.20.1 を緊急リリースしました。

今回、携帯IP帯域の更新が最新のソースに含まれていないため、緊急リリースとなります。
既に携帯IP帯域リストを更新済みの方は問題ありませんのでご安心ください。

下記リンク先には各バージョンにあわせた携帯電話 IP アドレス帯域リストの情報が記載されています。
バージョンをお確かめの上、直接 /webapp/lib/ktaiIP.php に上書きすることでも同様の対応となります。

・携帯電話 IP アドレス帯域リスト

https://www.openpne.jp/pne-downloads/mobile_ip_list/

ダウンロード

ダウンロード

https://www.openpne.jp/pne-downloads/

安定版改定履歴

http://trac.openpne.jp/wiki/ChangeLog/

OpenPNE開発チームの今村です。
本日2010/8/4（水）、安定版 OpenPNE2.14.7 , 旧安定版 OpenPNE2.12.20 をリリースしました。
今回で旧安定版2.12.xはメンテナンス期間が終了になります。
OpenPNE2.14.xあるいはOpenPNE3.4.xへのバージョンアップをおすすめします。

今回のリリースは例外的に config.php.sample の変更が行われています。必ずconfig.php の変更を適用させてください。

続きを読む

OpenPNE 開発チームの卜部です。

本日、安定版 OpenPNE 3.2.7 をリリースしました。最終リリースとなります。

今回は43件のバックポートが取り込まれたソースのリリースとなります。ご覧頂くと分かりますように、修正を多く含んでいます。

次のリリースはありません。
今後は 安定版 OpenPNE 3.4 へのバージョンアップをお勧めいたしいます。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.2.7 は以下のダウンロードページからダウンロードできます。

https://www.openpne.jp/pne-downloads

インストール

OpenPNE 3.2.7 の場合は、同梱の OpenPNE3.2 セットアップ手順 をご覧ください。

3.2.x から 3.4 へのアップグレード、もしくは 今回の 3.2.7 へのマイナーバージョンアップを行う場合は、このドキュメントを参考ください。

続きを読む

OpenPNE開発チームの今村です。

OpenPNE2.14.7とOpenPNE2.12.20のリリースを本日2010/7/27（火）に予定していましたが、
延期いたします。延期後の予定は下記の通りです。

■変更前
2010/7/27（火）

■変更後
2010/8/3（火）

前回の延期告知でも書きましたが、今回OpenPNE2系のリリースには
PHP5.3環境でも動作するように修正が加えられました。
しかし、テスト作業が追いついておらず、再度延期することに致しました。
度重なる延期になりますが、皆さんのご協力をお願いします。

OpenPNE開発チームの今村です。

OpenPNE2.14.7とOpenPNE2.12.20のリリースを本日2010/7/22（木）に予定していましたが、
延期いたします。延期後の予定は下記の通りです。

■変更前
2010/7/22（木）

■変更後
2010/7/27（火）

今回のOpenPNE2系のリリースにはPHP5.3環境でも動作するように修正が加えられました。
この対応を心待ちにしていた方も多いのでは無いでしょうか。
コードは修正済みでテスト段階まで来ていますので、あともう少しお待ちください。

また、リリース情報などの情報はpnetanがTwitterでよくつぶやいていますので
是非フォローしてみてください。
http://twitter.com/pnetan

OpenPNEプロジェクトを手伝いたい！動作テストとかコードチェックするよ！
という方がいらっしゃいましたら是非お申し出ください。TwitterでつぶやいていただいてもOKです。

お待ちしてます！

OpenPNE 開発チームの海老原です。

たいへん遅くなりましたが、本日 2010/07/18 (日)、開発版 OpenPNE 3.6beta1 をリリースしました。

多くの変更が安定版におけるバグ修正の取り込みですが、 3.6 向けの openpne:upgrade-from-2 タスクの追加や、負荷対策、アクティビティ機能に関する修正などがおこなわれています。

次回の OpenPNE 3.6beta2 のリリースは 7/27 (火) を予定しています。また、安定版 OpenPNE 3.6.0 は、本リリースより一ヶ月後の 8/18 (水) 頃のリリースを予定しています。

続きを読む

OpenPNE 開発チームの卜部です。

4日遅れとなりますが、
本日、安定版 OpenPNE 3.4.6 をリリースしました。

今回は、主に 3.5系 3.6beta で発見されているバグのバックポートを含んだリリースとなります。

次のリリースは、2010/08/12 (木) を予定しています。
OpenPNE 3.2.7 につきましては https://www.openpne.jp/archives/5144/ で
告知しましたとおり、2010/07/30(金) のリリースとなっております。

OpenPNE 3.2系は次回が最終リリースとなりますのでご利用の方は、OpenPNE 3.4系へのバージョンアップをお勧めいたしいます。

3.2.x から 3.4 へのアップグレード方法はこちらをご覧ください。

OpenPNE3.4.x の以前のバージョンから、マイナーバージョンアップを行う場合は、以下の手順をご確認ください。
git でソースコードを管理している場合

$ git fetch
$ git checkout OpenPNE-3.4.6 // (※1)
$ diff config/OpenPNE.yml.sample config/OpenPNE.yml

// 差分を確認し、OpenPNE.yml.sample で変更されている内容があれば OpenPNE.yml に反映

$ php symfony cc

※1： git でソースコード管理をしていない場合、この手順を OpenPNE3.4.6 のタグのソースに置き換える操作をすれば問題ないです。

続きを読む

OpenPNE開発チームの今村です。

OpenPNE2.14.7とOpenPNE2.12.20のリリースを2010/7/15（木）に予定していましたが、1週間延期します。

■変更前
2010/7/15（木）

■変更後
2010/7/22（木）

今回、OpenPNE2系のリリースには、PHP5.3環境に対応するというチケットがあり、そのテストをしっかり進めていきたいと考えているためリリースを延期します。
よろしくお願いします。

リリース情報などの情報はpnetanがTwitterでよくつぶやいていますので是非フォローしてみてください。
http://twitter.com/pnetan

OpenPNEプロジェクトを手伝いたい！動作テストとかコードチェックするよ！という方がいらっしゃいましたら是非お申し出ください。TwitterでつぶやいていただいてもOKです。

お待ちしてます！

OpenPNE開発チームの今村です。

本日、2010/07/08(木) にリリースを予定していた 安定版 OpenPNE3.4.6 ですが、修正が可能な範囲で対応としていましたが、開発の遅れによりリリースを延期いたします。
変更後のリリース日は、2010/07/12(月)を予定しています。

OpenPNE3.4.6の対応項目はこちらをご覧ください。

OpenPNE 3.4.6

http://redmine.openpne.jp/versions/show/97

OpenPNE3.4.6の対応から見送られたチケットは、OpenPNE3.4.7でもりもり修正していきたいと思っていますので、みなさんのOpenPNEプロジェクトへのご参加をお待ちしています！