OpenPNE開発チームの 今村 です。

本日 2012/12/06、WILLCOM と au のIPアドレス帯域削除に伴い、OpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

すべてのバージョンの OpenPNE 3 にはサーバ上ファイルの漏洩に繋がる脆弱性が存在します。この脆弱性は OpenPNE 3 が使用している Web アプリケーションフレームワークの symfony において発覚した、以下の脆弱性 (CVE-2012-5574) に由来するものです。

Security release: symfony 1.4.20 released – Symfony

http://symfony.com/blog/security-release-symfony-1-4-20-released

Secunia Advisory SA51372 : Symfony Arbitrary File Disclosure Vulnerability

http://secunia.com/advisories/51372/

本脆弱性は、 OpenPNE 3 およびバンドルプラグインのソースコードに変更を加えずに運営している場合においては、影響が極めて限定的なものとなるため、緊急の対策版リリースは実施しません (脆弱性への修正は通常リリースにておこなう予定です)。

しかしながら、サイトの運用状況や、ソースコードの変更内容によっては、本脆弱性により無視のできない影響を受けることがあります。 OpenPNE 3 によるサイトを運営する方は、本エントリの内容を確認し、脆弱性によって発生するリスクを受容できないと判断できる場合は、早急な対策をおこなうことを強く推奨します。

本問題について

影響を受けるシステム

「画像以外のファイルアップロード機能を、 OpenPNE 3 のソースコードを改変するか、もしくはプラグインを導入することによって追加しているサイト」 (以下、「影響を受けるシステム A」と呼称します) は、本脆弱性によって甚大な影響を受ける可能性があります。

また、以下の OpenPNE を使用しているサイト (以下、「影響を受けるシステム B」と呼称します) は、本脆弱性による限定的な影響を受ける可能性があります。

• OpenPNE 3.8.3 以下、 OpenPNE 3.6.6 以下、 OpenPNE 3.4.21 以下、 OpenPNE 3.2.7.6 以下、 OpenPNE 3.0.8.5 以下のすべてのバージョン

「影響を受けるシステム B」において、画像のファイルアップロード機能を有するプラグインを使用している場合、その機能も同様に限定的な影響を受けます。バンドルプラグインのなかで該当するものは以下の通りです。

• opAlbumPlugin
• opCommunityTopicPlugin
• opDiaryPlugin
• opMessagePlugin

脆弱性の説明

symfony にて提供されているフォームフレームワークには、ファイルの送信をおこなう際のリクエストの検証に不備があり、特定の形式のパラメータを含むことで、 Web アプリケーションが設置されているサーバ上のファイル をアップロードすることができてしまうという問題があります。

この実装上の問題を悪用し、 Web サーバの権限で読み込み可能な任意のファイルを Web サーバの公開領域にアップロードさせることで、攻撃者はそのファイルの内容 (データベースの接続情報など) を取得することができます。

OpenPNE では、このフォームフレームワークを使用してフォームの構築や入力値の検証をおこなっています。したがって、ファイルのアップロードを受け付けるほとんどすべての場面において本脆弱性の影響を受けることになります。

想定される影響

• 「影響を受けるシステム A」においては、本脆弱性によって、 Web サーバの権限によって読み取り可能なサーバ上のすべてのファイルの情報 (データベースの接続情報なども含まれます) を悪意のある攻撃者によって不正に取得される危険性があります
• 「影響を受けるシステム B」においては、本脆弱性によって、 Web サーバの権限によって読み取り可能な サーバ上のすべての画像ファイルの情報を悪意のある攻撃者によって不正に取得される危険性があります

このうち、「影響を受けるシステム A」に関する影響は甚大であると考えられます。

一方で、「影響を受けるシステム B」については、影響はほとんど限定的です。 OpenPNE 自身に同梱された画像ファイルは既に世間一般に公開されているものです。また、画像ファイルアップロード機能によりアップロードされた画像自体には公開範囲の制限がありません。そのため、この脆弱性を利用することで攻撃者が新たに取得可能になる情報はないと考えられます。ただし、運用上の都合等によって サーバ上に秘密の画像を設置しているようなケースでは、本脆弱性によりその画像を取得される危険があります。

対策方法

以下のいずれかの対応をおこなうことで、本脆弱性の影響を防ぐことができます。

• 1. symfony の配布するパッチを適用する
• 2. ファイルアップロードが可能な機能に対するアクセスを、 Web サーバの設定等によって制限する

ただし、「2. ファイルアップロードが可能な機能に対するアクセスを、 Web サーバの設定等によって制限する」については、お使いのプラグイン等によって設定方法が異なるため、ここでは、「1. symfony の配布するパッチを適用する」の対応についてのみ説明いたします。

パッチの適用方法

• 1. http://trac.symfony-project.org/changeset/33598?format=diff&new=33598 から入手できる対策パッチを、 OpenPNE を設置しているディレクトリにアップロードします
• 2. SSH でログインし、 1. のディレクトリに移動します
• 3. 以下のコマンドを実行します

$ patch -d ./lib/vendor/symfony -p3 < パッチファイル名

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.3 をリリースしました。
今回のリリースでは、Core 機能に含まれるバグをメインに修正しました。

次回のリリースは 2013年1月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE開発チームの 今村 です。

本日 2012/11/05、WILLCOMの「削除IPアドレス帯域（2012年3月8日削除分）」の対応のため、OpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

今回のリリースの経緯ですが、2012/11/01のリリース後に、重複しているIPアドレスがあることがわかりました。調査の結果、2012年3月8日の時点で削除されるべきIPアドレスが削除されていませんでした。今回のリリースは、その削除されるべきIPの削除対応になります。
IP帯域リストの削除漏れによる、SNSへの影響は特にありません。
ご心配をお掛けして申し訳ありませんでした。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

OpenPNE開発チームの 今村 です。

本日 2012/11/01、WILLCOM (2012年11月1日)通信設備の設備更改に伴う一時的な増設対応に伴いOpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

OpenPNE 開発チームの石切山です。

本日、安定版 OpenPNE 3.6.6 をリリースしました。
今回のリリースでは、Core 機能に含まれるバグをメインに修正しました。

次回のリリースは 2012年12月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.2 をリリースしました。

今回の修正により、PHP5.2環境でもタイムライン等の機能が動作するようになりました。
詳細については、以下チケットをご覧ください。

#3178: 三項演算子の二項目を省略した記述はPHP5.2環境で動作しない

次回のリリースは 2012年11月8日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.1 をリリースしました。
リリースが予定より遅れてしまい、
お待ちいただいている皆様にご迷惑をおかけして申し訳ございませんでした。

今回のリリースでは、スマートフォンで携帯メールアドレスを利用している場合、
OpenPNE の登録をはじめとしたメールアドレスに関する機能が使用できなくなる問題を
メインに対応しました。
今回の修正により、スマートフォンで携帯メールアドレスを利用していても、
メールアドレスに関する機能が使用可能になりました。

詳細については、以下チケットをご覧ください。
#3159: スマートフォンで携帯メールアドレスを利用することができない

次回のリリースは 2012年9月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

【2012/08/20 16:10 追記】
本バージョン以降、opAuthMailAddressPlugin のプラグイン設定から『ログイン用メールアドレス設定』を削除し、
設定によらず「PCメールアドレスと携帯メールアドレスの両方を受け付ける」の場合と同様の挙動となるように変更してあります。
以前のバージョンから利用しているSNS管理者の方は、ご確認お願いします。

続きを読む

OpenPNE 開発チームの石切山です。

OpenPNE 3.8 リリース再々延期についてのお知らせです。
OpenPNE 3.8.1 リリース再延期のお知らせ にて、

次回のリリースは 2012年8月9日(木) を予定しています。

とお知らせしましたが、実装の目処が立たず、リリースが難しい状況となっています。

次回 OpenPNE 3.8.1 のリリースは 2012/8/16 (木) を予定しています。

この度は、お知らせがリリース予定日を過ぎてからとなってしまったこと、また度重なる予定の変更によりリリースをお待ちいただいいている皆様には大変ご迷惑をおかけして申し訳ございません。
一刻も早いリリースに向け開発チーム一同、鋭意作業を進めておりますので、今しばらくお待くださいますようよろしくお願いいいたします。

OpenPNE 開発チームの石切山です。

本日、安定版 OpenPNE 3.6.5 をリリースしました。
今回のリリースでは、Core 機能に含まれるバグをメインに修正しました。

次回のリリースは 2012年10月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む