プラグイン同梱版OpenPNE3.8.11を作成しました。
先週リリースいたしましたOpenPNE3.8.11の修正分を反映しています。

3.8.10からの変更点

変更点はOpenPNE3.8.11のリリースと同等です。
詳細についてはOpenPNE3.8.11のリリースのお知らせをご覧ください。

https://www.openpne.jp/archives/12383/

パッケージのダウンロード

ダウンロードはこちらです。

• プラグイン同梱版zipパッケージ

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSやpnetan宛につぶやいてみてください。

本日 2014/04/10、OpenPNE 3.8.11 をリリースしました。

スマートフォンで撮影された画像が正しい向きで表示されないという不具合がありましたが、今回のリリースで修正されております。

また、OpenPNE.ymlにてEnvelope Fromのアドレスを設定してもReturnPathに反映されなった不具合についても修正されております。
なお、この問題は 渕上和弘 さんよりご報告を頂きました。ご協力いただき、ありがとうございます。

次回のOpenPNE3.8系のリリースは 2014年6月12日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

本日 2014/03/14、OpenPNE 3.6.14 をリリースしました。

スマートフォンで撮影された画像が正しい向きで表示されないという不具合がありましたが、今回のリリースで修正されております。

次回のOpenPNE3.6系のリリースは 2014年5月8日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの今村です。

OpenPNE 3.6.14 のリリース延期についてのお知らせです。
2014/3/13 (木) のリリースを予定していましたが、
対応項目の修正が間に合わないため、2014/3/14 (金)にリリース日を延期致します。

リリースをお待ちいただいいている皆様にはご迷惑をおかけしますが、
何卒ご理解いただきますよう、よろしくお願いいたします。

プラグイン同梱版OpenPNE3.8.10を作成しました。
先週リリースいたしましたOpenPNE3.8.10の修正分を反映しています。

3.8.9.1からの変更点

変更点はOpenPNE3.8.10のリリースと同等です。
詳細についてはOpenPNE3.8.10のリリースのお知らせをご覧ください。

https://www.openpne.jp/archives/12323/

パッケージのダウンロード

ダウンロードはこちらです。

• プラグイン同梱版zipパッケージ

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSやpnetan宛につぶやいてみてください。

本日 2014/02/13、OpenPNE 3.8.10 をリリースしました。

今回のリリースではGoogle Maps APIのバージョン3への対応をおこなっております。この対応によりgoogle maps api keyを管理画面で設定していなくてもgoogle mapの小窓表示が可能です。

また、部分SSL使用時にカスタムCSSが読み込まれない問題の対応のとして、OpenPNE.yml.sampleに変更があります。SSLおよびカスタムCSSを使用している場合は変更内容をご確認の上、設定の追加をお願い致します。変更内容はこちらをご確認ください。

次回のOpenPNE3.8系のリリースは 2014年4月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

プラグイン同梱版OpenPNE3.8.9.1を作成しました。
本バージョンはPHP Object Injection 脆弱性（OPSA-2014-001）の対応を取り込んでいます。

3.8.9からの変更点

• PHP Object Injection 脆弱性（OPSA-2014-001）の取り込み

パッケージのダウンロード

ダウンロードはこちらです。

• プラグイン同梱版zipパッケージ

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSやpnetan宛につぶやいてみてください。

OpenPNE 3.6.13, 3.8.9 のメンバーのログイン画面にて利用可能な「次回から自動ログイン」という機能には、PHP Object Injection 脆弱性が存在します。
この脆弱性を悪用することで、OpenPNEでは任意の PHP コードの実行が可能となっており、極めて重大な問題です。

本日 (2014/01/20)、この問題の対策版として OpenPNE 3.6.13.1, 3.8.9.1 のリリースをおこないましたので、内容を確認の上、バージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

以下のバージョンの OpenPNE (メンバーのログイン画面の「次回から自動ログイン」機能を有するバージョン) を使用しているすべてのサイト

• OpenPNE 3.6.13 以下
• OpenPNE 3.8.9 以下

※OpenPNE 3.4系列、OpenPNE 3.2 系列、OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。

脆弱性の説明

OpenPNE 3.6 から追加された「次回から自動ログイン」の機構は、自動ログイン対象となるメンバー ID と、自動ログイン毎に発行された認証用の ID の組をバイナリデータとしてシリアライズし、 base64 エンコードを施した文字列を格納した cookie をやり取りすることによって実現されています。
この認証に必要な cookie の情報をシリアライズ、アンシリアライズする手段に実装上の不備があるため、任意の PHP コードを実行されてしまうといった重大な問題が発生する可能性があります。

想定される影響

以下のような深刻な影響が考えられます。

• 任意の PHP コード実行
• Web サーバからアクセス可能な任意のファイルの削除

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.9.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.13.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.9.1 バージョンアップ手順書
• OpenPNE 3.6.13.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

バージョンアップ、パッチ適用後の注意点

本問題の対応を実施すると、「次回から自動ログイン」を設定していたユーザでも再度ログイン操作を行う必要があります。

謝辞

本脆弱性は、Secunia Research の Egidio Romano 氏よりご報告を頂きました。
報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。

This vulnerability is reported by Egidio Romano of Secunia Research.
We really appreciate him and all persons who worked very hard to release this advisory.

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

OpenPNE 3.8.10 のリリース延期についてのお知らせです。
2014/1/9 (木) のリリースを予定していましたが、
開発者のリソースの確保の都合により、2014/2/13 (木)にリリース日を延期致します。

ご連絡が遅くなり大変申し訳ありません。
リリースをお待ちいただいいている皆様にはご迷惑をおかけしますが、
何卒ご理解いただきますよう、よろしくお願いいたします。

OpenPNE 開発チームの今村です。

本日 2013/12/12、OpenPNE 3.6.13 をリリースしました。
今回のリリースではGoogle Maps APIのバージョン3への対応をおこなっております。この対応によりgoogle maps api keyを管理画面で設定していなくてもgoogle mapの小窓表示が可能です。

また、部分SSL使用時にカスタムCSSが読み込まれない問題の対応のとして、OpenPNE.yml.sampleに変更があります。SSLおよびカスタムCSSを使用している場合は変更内容をご確認の上、設定の追加をお願い致します。変更内容はこちらをご確認ください。

次回のOpenPNE3.6系のリリースは 2014年2月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む