本日 2014/04/10、OpenPNE 3.8.11 をリリースしました。

スマートフォンで撮影された画像が正しい向きで表示されないという不具合がありましたが、今回のリリースで修正されております。

また、OpenPNE.ymlにてEnvelope Fromのアドレスを設定してもReturnPathに反映されなった不具合についても修正されております。
なお、この問題は 渕上和弘 さんよりご報告を頂きました。ご協力いただき、ありがとうございます。

次回のOpenPNE3.8系のリリースは 2014年6月12日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

本日 2014/03/14、OpenPNE 3.6.14 をリリースしました。

スマートフォンで撮影された画像が正しい向きで表示されないという不具合がありましたが、今回のリリースで修正されております。

次回のOpenPNE3.6系のリリースは 2014年5月8日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの今村です。

OpenPNE 3.6.14 のリリース延期についてのお知らせです。
2014/3/13 (木) のリリースを予定していましたが、
対応項目の修正が間に合わないため、2014/3/14 (金)にリリース日を延期致します。

リリースをお待ちいただいいている皆様にはご迷惑をおかけしますが、
何卒ご理解いただきますよう、よろしくお願いいたします。

プラグイン同梱版OpenPNE3.8.10を作成しました。
先週リリースいたしましたOpenPNE3.8.10の修正分を反映しています。

3.8.9.1からの変更点

変更点はOpenPNE3.8.10のリリースと同等です。
詳細についてはOpenPNE3.8.10のリリースのお知らせをご覧ください。

https://www.openpne.jp/archives/12323/

パッケージのダウンロード

ダウンロードはこちらです。

• プラグイン同梱版zipパッケージ

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSやpnetan宛につぶやいてみてください。

手嶋です。

脆弱性対策、新旧の安定版のリリースが落ち着き、
OpenPNE開発版（3.9.xシリーズ）のプロジェクトをスタートできる見通しが立ちました。

先週から開発項目や期間、開発コンセプトなどをまとめはじめました。
まずはとりあえずスタートのご挨拶、ということで、今のところの考えを共有します。

▼3.9はスマホファースト
・「OpenPNEはスマホからつくる」OpenPNEは今後スマートデバイスの機能から優先する
・スマホファーストでつくった機能は標準でタブレット・PCでも利用できるようにする
・使用頻度の高いDiary CommunityTopic Message Timelineプラグインはこの新仕様の対応に

▼3.9はBootstrapを全面導入、デザインを楽に
・非常に利用価値のたかいデザインフレームワークを
・すでにスマートフォンUIで採用している、Bootstrap.cssをOpenPNE全体で利用する
・OpenPNE独自で定義しているCSS定義を極力Bootstrap由来の指定法に変更する

▼シンプル・ミドルウエア
・使用頻度の低い機能の削除準備のため、非推奨にする（機能は残す）
・バグ修正、スピードアップ
・JSONAPIの充実：jQueryでOpenPNEをカスタマイズできるようにする

▼開発コードネーム
へで始まる鳥の名前で考えています。
ヘロン、ヘラサギなど微妙な名前の鳥が多いのが悩みです。

3.7は、鳳凰（ほうおう）でした

小さな所帯なので、できることは限られていますが、
楽しく進めていきたいと思います。

ご意見は「OpenPNE」のキーワードを入れて、Twitterでつぶやいてください。
自分および、コアなスタッフは全件チェックしています。

本日 2014/02/13、OpenPNE 3.8.10 をリリースしました。

今回のリリースではGoogle Maps APIのバージョン3への対応をおこなっております。この対応によりgoogle maps api keyを管理画面で設定していなくてもgoogle mapの小窓表示が可能です。

また、部分SSL使用時にカスタムCSSが読み込まれない問題の対応のとして、OpenPNE.yml.sampleに変更があります。SSLおよびカスタムCSSを使用している場合は変更内容をご確認の上、設定の追加をお願い致します。変更内容はこちらをご確認ください。

次回のOpenPNE3.8系のリリースは 2014年4月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

プラグイン同梱版OpenPNE3.8.9.1を作成しました。
本バージョンはPHP Object Injection 脆弱性（OPSA-2014-001）の対応を取り込んでいます。

3.8.9からの変更点

• PHP Object Injection 脆弱性（OPSA-2014-001）の取り込み

パッケージのダウンロード

ダウンロードはこちらです。

• プラグイン同梱版zipパッケージ

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSやpnetan宛につぶやいてみてください。

OpenPNE開発Redmine (redmine.openpne.jp) において、以下の日程でサーバーメンテナンスをおこないます。

メンテナンス中はご不便をおかけいたしますが、ご了承ください。

メンテナンス予定日時

2014年1月31日(金) 14:00〜15:00

メンテナンス内容

Redmine と同サーバー内の各種ミドルウェアのバージョンアップを実施します。

メンテナンス影響範囲

メンテナンス中は以下の機能が利用できません。

• redmine.openpne.jp のすべての機能
• plugins.openpne.jp のログイン機能（プラグインのインストールは可能です）

OpenPNE 3.6.13, 3.8.9 のメンバーのログイン画面にて利用可能な「次回から自動ログイン」という機能には、PHP Object Injection 脆弱性が存在します。
この脆弱性を悪用することで、OpenPNEでは任意の PHP コードの実行が可能となっており、極めて重大な問題です。

本日 (2014/01/20)、この問題の対策版として OpenPNE 3.6.13.1, 3.8.9.1 のリリースをおこないましたので、内容を確認の上、バージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

以下のバージョンの OpenPNE (メンバーのログイン画面の「次回から自動ログイン」機能を有するバージョン) を使用しているすべてのサイト

• OpenPNE 3.6.13 以下
• OpenPNE 3.8.9 以下

※OpenPNE 3.4系列、OpenPNE 3.2 系列、OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。

脆弱性の説明

OpenPNE 3.6 から追加された「次回から自動ログイン」の機構は、自動ログイン対象となるメンバー ID と、自動ログイン毎に発行された認証用の ID の組をバイナリデータとしてシリアライズし、 base64 エンコードを施した文字列を格納した cookie をやり取りすることによって実現されています。
この認証に必要な cookie の情報をシリアライズ、アンシリアライズする手段に実装上の不備があるため、任意の PHP コードを実行されてしまうといった重大な問題が発生する可能性があります。

想定される影響

以下のような深刻な影響が考えられます。

• 任意の PHP コード実行
• Web サーバからアクセス可能な任意のファイルの削除

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.9.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.13.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.9.1 バージョンアップ手順書
• OpenPNE 3.6.13.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

バージョンアップ、パッチ適用後の注意点

本問題の対応を実施すると、「次回から自動ログイン」を設定していたユーザでも再度ログイン操作を行う必要があります。

謝辞

本脆弱性は、Secunia Research の Egidio Romano 氏よりご報告を頂きました。
報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。

This vulnerability is reported by Egidio Romano of Secunia Research.
We really appreciate him and all persons who worked very hard to release this advisory.

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

OpenPNE 3.8.10 のリリース延期についてのお知らせです。
2014/1/9 (木) のリリースを予定していましたが、
開発者のリソースの確保の都合により、2014/2/13 (木)にリリース日を延期致します。

ご連絡が遅くなり大変申し訳ありません。
リリースをお待ちいただいいている皆様にはご迷惑をおかけしますが、
何卒ご理解いただきますよう、よろしくお願いいたします。