最新ブログ
新安定版OpenPNE3.6.0のリリース延期のお知らせ
08 / 26 木曜日 2010
今村です。
先日、新安定版OpenPNE3.6.0のリリースについて、手嶋屋開発部としての方針を話し合い、結論がまとまりましたのでご報告したいと思います。
【緊急リリース】OpenPNE 3.5.2 以降に存在する XSS 脆弱性対応のお知らせ
08 / 18 水曜日 2010
開発版 OpenPNE 3.5.2 以降には、いくつかの箇所においてユーザ入力値の処理が適切におこなわれていないことによる XSS 脆弱性が存在します。
本日(8/18)、この問題の対策版として OpenPNE 3.6beta3 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。
なお、安定版としてリリースをおこなっている OpenPNE 3 系(OpenPNE 3.0, OpenPNE 3.2, OpenPNE 3.4)は本問題の影響を受けません。
【重要】 OpenPNE2.14.7.3, OpenPNE 3.2.7.2, OpenPNE 3.4.6.2 をリリースしました
08 / 17 火曜日 2010
2010/08/18 15:21 追記: OpenPNE 3.2.7.2, OpenPNE 3.4.6.2 の修正パッチを公開しました
OpenPNE開発チームのきわです。
本日 2010/08/17、致命的な不具合を修正した OpenPNE2.14.7.3, OpenPNE 3.2.7.2, OpenPNE 3.4.6.2 をリリースしました。
【重要】ver2.14.7.2, ver3.2.7.1, ver3.4.6.1 に致命的な不具合が発見されました(2010/08/16 18:21追記)
08 / 12 木曜日 2010
※ (2010/08/12 18:45) 文言を一部修正しました。
OpenPNE開発チームのきわです。
昨日、OpenPNE2.8~OpenPNE3.6beta に対して脆弱性対応リリースを行ないましたが、
その中でも一部のバージョンに致命的な不具合が発見されたので急ぎ報告します。
対象バージョン
- OpenPNE 2.14.7.2
- OpenPNE 3.2.7.1
- OpenPNE 3.4.6.1
不具合内容
ニックネームに絵文字が含まれている場合に、PC版でコメント返信補助機能が正常動作しなくなる
内容
日記やトピックのコメント返信補助機能を有効にしている場合、PC版ニックネームに絵文字を含んでいるメンバーに対して返信をしようとしても、ニックネームを正しく参照することができません。
PC版で、コメント欄のニックネーム表示部分に絵文字が不適切な形で出力されてしまっていることが原因です。携帯版ではこの問題は生じません。
対象バージョン
- OpenPNE 2.14.7.2
応急処置
応急処置方法はありません。コメント返信補助機能が不要であれば、SNS管理画面の「SNS設定」>「SNS設定」にて「コメント返信補助機能設定」を「使用しない」設定にしてください。
管理画面 ナビゲーション設定で項目を追加すると、既存の項目が削除される
内容
管理画面「ナビゲーション設定」において、既にナビゲーション項目が1つ以上登録されているナビに新たな項目を追加しようとしても追加に失敗し、さらに既に登録されている項目のうち一番下のものが削除されてしまう。
対象バージョン
- OpenPNE 3.2.7.1
- OpenPNE 3.4.6.1
応急処置
応急処置方法はありません。大変申し訳ありませんがナビゲーション項目の追加を行わないようにしてください。
対応版のリリースについて
上記不具合に対応した OpenPNE2.14.7.3, OpenPNE3.2.7.2, OpenPNE3.4.6.2 を後日リリースします。
リリースの日程は決まり次第このブログに追記します。
2010/08/16 18:21 追記: 上記バージョンのリリースは 2010/08/17(火) 中に行ないます。
運営者・SNS利用者の皆さんにはご不便をおかけして大変申し訳ありませんが、よろしくお願いします。
安定版 OpenPNE 3.4.7 リリース延期のお知らせ
08 / 12 木曜日 2010
OpenPNE 開発チームの卜部です。
本日、予定していました安定版 OpenPNE 3.4.7 リリースにつきまして、
昨日の脆弱性リリース対応に
全力を注いでいたため、定期リリースは来月 9/9 (木) に延期させて頂くことになりました。
現時点では最新安定版 OpenPNE 3.4.6.1 をご利用頂きますようお願いいたします。
【緊急リリース】脆弱性対応のお知らせ OpenPNE2 OpenPNE3 opCommunityTopicPlugin opOpenSocialPlugin opFavoritePlugin opIntroFriendPlugin
08 / 11 水曜日 2010
本日、OpenPNE2・OpenPNE3 で発覚した複数の脆弱性について対応リリース・パッチの提供をおこないました。
バージョンごとに対応が異なりますので、内容をご確認の上バージョンアップまたはパッチの適用をお願いします。
対応内容
Google マップ 小窓にクロスサイトスクリプティング(XSS)脆弱性
Google マップ 小窓にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。
Google マップ 小窓についての説明は以下をご覧ください。
- OpenPNE小窓機能紹介
- https://www.openpne.jp/cmd/
- 小窓の使い方 – Google マップ 小窓
- https://www.openpne.jp/cmd/list/#maps.google.co.jp
影響を受けるシステム
Google マップ 小窓を有効にしている全てのOpenPNE2 OpenPNE3
応急処置方法
OpenPNE2
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」>「CMD設定」にて以下の小窓を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。
- maps.google.co.jp
- maps.google.com
- www.google.co.jp
- www.google.com
OpenPNE3
応急処置方法はありません。早急なバージョンアップをお願いします。
コメント返信補助機能設定にクロスサイトスクリプティング(XSS)脆弱性
コメント返信補助機能にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、閲覧者の個人情報漏洩やなりすましログインを許してしまう可能性があります。
影響を受けるシステム
コメント返信補助機能を有効にしている OpenPNE2.14
応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」>「SNS設定」にて「コメント返信補助機能設定」を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。
OpenPNE3 の複数箇所でクロスサイトリクエストフォージュリ(CSRF)脆弱性
OpenPNE3 の一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
全てのOpenPNE3
応急処置方法
応急処置方法はありません。早急なバージョンアップをお願いします。
opCommunityTopicPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性
opCommunityTopicPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
opCommunityTopicPlugin 0.9 (OpenPNE3.2対応) ~
応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opCommunityTopicPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。
opOpenSocialPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性
opOpenSocialPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
opOpenSocialPlugin 0.8 (OpenPNE3.0対応) ~
応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opOpenSocialPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。
opFavoritePluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性
opFavoritePluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
opFavoritePlugin 0.8 (OpenPNE3.0対応) ~
応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opFavoritePlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。
opIntroFriendPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性
opIntroFriendPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。
影響を受けるシステム
opIntroFriendPlugin 0.8 (OpenPNE3.0対応) ~
応急処置方法
現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」>「アプリケーションプラグイン設定」にて「opIntroFriendPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。
本問題への対応方法
これらの問題への対応方法は次の通りです。
OpenPNE2
マイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 2.8.11.1
- [.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 2.10.13.2
- [.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 2.12.20.2
- [.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 2.14.7.2
- [.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]
■ 2010/08/11 18:28 追記
OpenPNE2 の全ての対応パッチについて、version.php が変更されない不備があったため、改めてパッチを作り直しました。
18:28 以前にパッチを適用された方は、お手数ですが手動で webapp/version.php にあるOpenPNEのバージョンを変更してください。
マイナーバージョンアップ手順
以下、OpenPNEをそのまま設置したノンカスタマイズ状態のSNSのバージョンアップ手順となります。
1. config.php のバックアップをとります(ダウンロードなど)
2. マイナーバージョンアップする新しいOpenPNEをダウンロードし、現在設置されているSNSと同じ階層のディレクトリに解凍します
3. 1でバックアップをとったconfig.phpを 2 のディレクトリにコピーします
4. 新規設置の手順と同じように、varディレクトリのパーミッションを 777 に変更します
5. 古いOpenPNEのディレクトリの名前を変更し、新しいOpenPNEと置き換えます
例:
【旧】 mysns/
【新】 OpenPNE-2.14.7.1/
↓ディレクトリ名を変更
【旧】 old_mysns/
【新】 mysns/
以上でマイナーバージョンアップは完了です。
パッチ適用手順
1. OpenPNEを設置しているディレクトリ(OPENPNE_DIR)にパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p0 < パッチファイル名
OpenPNE3
マイナーバージョンアップもしくは修正パッチの適用を実施してください。
- OpenPNE 3.0.8.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.2.7.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.4.6.1
- [.zip 版ダウンロード] [修正パッチ]
- OpenPNE 3.6beta2
- [.zip 版ダウンロード] [修正パッチ]
- opIntroFriendPlugin
- opIntroFriendPlugin-0.8.0.1
- opIntroFriendPlugin-0.9.0.1
- opFavoritePlugin
- opFavoritePlugin-0.9.0.1
- opFavoritePlugin-1.0.0.3
- opOpenSocialPlugin
- opOpenSocialPlugin-0.8.2.1
- opOpenSocialPlugin-0.9.8.1
- opOpenSocialPlugin-1.0.3.1
- opOpenSocialPlugin-1.2.0.1
- opCommunityTopicPlugin
- opCommunityTopicPlugin-0.9.7.1
- opCommunityTopicPlugin-1.0.0.2
OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。
■ 2010/08/11 19:33 追記
OpenPNE3 の全ての対応パッチについて、正しい差分になっていなかったためパッチを作り直しました。
19:33 以前にパッチを適用された方は、お手数ですが一度古いパッチで逆マージを行い変更を取り消した上で、新しいパッチの適用をお願いします。
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書をご覧ください。
このドキュメントの手順はマイナーバージョンアップにも有効です。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
4. 以下のコマンドを実行します
$ ./symfony openpne:migrate
OpenPNE3 プラグイン
OpenPNE3 本体のマイナーバージョンアップを行うとプラグインのバージョンアップも自動的に行われます。
そのため、バンドルされているプラグインを個別でバージョンアップする必要ありません。
今回対応されたプラグインについて、バンドルされていないバージョンを使用している場合は各プラグインのリリース情報を参考に更新を行ってください。
【携帯IP帯域の更新】安定版OpenPNE2.14.7.1 と 旧安定版2.12.20.1緊急リリースのお知らせ
08 / 05 木曜日 2010
OpenPNE 開発チームの今村です。
本日、安定版OpenPNE2.14.7.1 と 旧安定版2.12.20.1 を緊急リリースしました。
今回、携帯IP帯域の更新が最新のソースに含まれていないため、緊急リリースとなります。
既に携帯IP帯域リストを更新済みの方は問題ありませんのでご安心ください。
下記リンク先には各バージョンにあわせた携帯電話 IP アドレス帯域リストの情報が記載されています。
バージョンをお確かめの上、直接 /webapp/lib/ktaiIP.php に上書きすることでも同様の対応となります。
- ・携帯電話 IP アドレス帯域リスト
- https://www.openpne.jp/pne-downloads/mobile_ip_list/
ダウンロード
安定版OpenPNE2.14.7と旧安定版OpenPNE2.12.20リリースのお知らせ
08 / 04 水曜日 2010
OpenPNE開発チームの今村です。
本日2010/8/4(水)、安定版 OpenPNE2.14.7 , 旧安定版 OpenPNE2.12.20 をリリースしました。
今回で旧安定版2.12.xはメンテナンス期間が終了になります。
OpenPNE2.14.xあるいはOpenPNE3.4.xへのバージョンアップをおすすめします。
今回のリリースは例外的に config.php.sample の変更が行われています。必ずconfig.php の変更を適用させてください。