最新ブログ｜OpenPNE

opHardeningPluginは、開発チームのヤバイ級ハッカーである海老原＝サンにより作成された、
現行の OpenPNE 3 に不足している各種セキュリティ対策をカバーするためのプラグインです。
JSONハイジャックやIEにおけるXSSへの対応が主となっています。
このプラグインを導入することにより、あなたの運用するSNSはセキュリティ強度はポイント倍点です。

コメント: 0
トラックバック: 0

安定版 OpenPNE 3.6.10 リリース予定

05 / 15 水曜日 2013

OpenPNEからのおしらせ開発情報
nakajima

ドーモ、OpenPNE 開発チームのナカジマです。

先日、OpenPNE 3.6.10のリリース選定会を行いました。
そこで、次回6月13日のリリース内容が決定されました。

以下の対応を行うことに決定しましたので、お知らせします。
今回は、2系から3系へのコンバートで発生していた問題を重点解決します。

対応チケット

#3190 2系から3系にコンバートする際に正しくフォームタイプがコンバートされない
#3192 コンバート時にプロフィールの公開範囲デフォルト設定が正しくコンバートされない
#2924 コミュニティホーム画面でコミュニティ書き込み通知メールのフォームの「Save」が翻訳されない

バグのせいでコンバートに踏み切れなかった皆様、お待たせいたしました。
来月には決断的コンバートが可能となります。

3系に興味が無い皆様、この機に3系へのコンバートに踏み切ってはいかがでしょうか。
開発チームは現在、安定版3.6系及び新安定版3.8系のサポートに実際注力しています。
2系から3系へコンバートすることで、より細やかなアップデート、そして最新のプラグインを使用出来る可能性が約束されます。

なお、有料ではありますが、公式のサポートもあります。
コンバートが不安という方や、本格的SNS運営を視野に入れる皆様の支えになれば幸いです。

いじょうです。

コメント: 0
トラックバック: 0

新安定版 OpenPNE 3.8.6 リリースのお知らせ

05 / 09 木曜日 2013

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.6 をリリースしました。
本リリースでは、opJsonApiActions 内の Content-Type の設定の不具合の修正などを行なっています。

次回のリリースは 2013年7月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

コメント: 0
トラックバック: 0

【緊急リリース】OpenPNE 3.4.21, 3.6.9, 3.8.5 以下の管理画面に存在する XSS 脆弱性対応のお知らせ (OPSA-2013-002)

05 / 08 水曜日 2013

OpenPNE リリース情報OpenPNEからのおしらせセキュリティ関連告知
Kousuke Ebihara

OpenPNE 3.4.21, 3.6.9, 3.8.5 の管理画面にて利用可能な「携帯版配色設定」という機能には XSS 脆弱性が存在します。なお、この「携帯版配色設定」機能を利用していない場合や、携帯版を無効にしている場合でも、同様に本脆弱性の影響を受けることに注意してください。

本日 (5/8)、この問題の対策版として OpenPNE 3.4.21.1, 3.6.9.1, 3.8.5.1 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

本問題について

影響を受けるシステム

以下のバージョンの OpenPNE (管理画面の「携帯版配色設定」機能を有するバージョン) を使用しているすべてのサイト

OpenPNE 3.4.21 以下
OpenPNE 3.6.9 以下
OpenPNE 3.8.5 以下

※OpenPNE 3.2 系列、 OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。

脆弱性の説明

管理画面の「携帯版配色設定」機能において、ログイン済みの管理者に特定の形式のリクエストを送信させることにより、管理者のブラウザ上で任意のスクリプトを実行されてしまう可能性があります。

想定される影響

管理者のブラウザ上で任意のスクリプトを実行されてしまうことから、たとえば以下のような深刻な影響が考えられます。

管理者のセッション ID を窃用されてしまうことによる、管理者へのなりすまし
管理画面の各種機能を悪用した SNS 上のコンテンツの改竄

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

後述の根本対応がすぐにおこなえない場合、以下のいずれかひとつ、あるいは両方の対策を実施することで、この問題による影響を一時的に回避することができます。

こまめに管理画面からログアウトする
管理画面にログインしたまま、メールやサイト (SNS 内、外を問わない) に記載された URL やリンクをクリックしない

管理画面を IP アドレス制限、 Basic / Digest 認証、公開鍵認証等によって保護することは、本問題の回避策としてはそれほど有効ではありません。一方で、管理画面のホスト名や、フロントコントローラのスクリプトファイル名 (デフォルトは pc_backend.php) を推測されにくいものに変更することは有効だといえますが、これらはあくまで保険的な回避策であり、いずれにしても前述の 2 つの回避策の実施は必要です。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.5.1: [.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.6.9.1: [.zip 版ダウンロード] [修正パッチ]
OpenPNE 3.4.21.1: [.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

謝辞

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき IPA によって報告がなされ、 JPCERT/CC による調整をしていただきました。

報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。