本日 2016/03/10、旧安定版 OpenPNE 3.6.22 及び 新安定版 OpenPNE 3.8.19 をリリースしました。

今回のリリースでは、小窓機能を更新しました。
その他、詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2016年06月09日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.6.21、3.8.18 以下 には、アクティビティのアクセスブロックに関する複数の脆弱性が存在します。

本日（2016/02/25）、この問題の対策版として OpenPNE 3.6.21.1、3.8.18.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

概要

OpenPNE 3.6.21、3.8.18 以下 には、下記のアクティビティのアクセスブロックに関する複数の脆弱性が存在していました。

1. 1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題
2. 2. アクティビティ検索API（activity/search.json）がアクセスブロック設定を考慮していない問題

本問題について

影響を受けるシステム

1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題

2. アクティビティ検索API（activity/search.json）がアクセスブロック設定を考慮していない問題

想定される影響

1. 「全員のアクティビティ」ガジェット (/member/_allMemberActivityBox) がアクセスブロック設定を考慮していない問題

2. アクティビティ検索API（activity/search.json）がアクセスブロック設定を考慮していない問題

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.18.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.21.1

[.zip 版ダウンロード] [修正パッチ]

なお、opTimelinePlugin 自体の更新は必要ありません。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.18.1 バージョンアップ手順書
• OpenPNE 3.6.21.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

下記日程でサーバメンテナンスを行いました。
2016年01月20日（水） 14:00〜15:00
表示が崩れる場合は、ブラウザのキャッシュをクリアしてみてください。

変更点
小窓機能で表示される Amazon の商品情報 についてデザインを変更

現行の Amazon の商品情報

変更後の Amazon の商品情報

Amazon小窓機能の使い方

1. 小窓を表示させたい Amazonの商品ページ に行き、URLをコピーします。
2. コピーした Amazonの商品ページのURL を日記の「本文」欄に貼り付け、日記を書き込みます。
3. Amazon小窓 が日記に表示されます。

Amazon小窓機能は日記以外に、コミュニティトピック、コミュニティイベント、タイムラインでも利用可能です。
ただし、タイムラインに表示させたい場合、URLが長すぎる場合があります。
その場合は、下記の手順で短縮したものを貼り付けてください。
1. 「http://www.amazon.co.jp/」の後ろのスラッシュから「/dp/」の手前までは、書籍名、著者名がエンコードされた文字列なのですべて省く。
2. 「/dp/10桁のコード/」の後ろに続く文字列をすべて省く。

例:
元のURL

短縮後のURL

小窓機能で表示される Amazon の商品情報 について、デザインを変更し、下記日程でサーバメンテナンスを行います。
メンテナンス中に小窓機能を使用した場合、一時的に表示されないことがあります。

サーバメンテナンス
2016年01月20日（水） 14:00〜15:00

メンテナンス終了後も表示されない場合は、ブラウザのキャッシュをクリアしてみてください。

現行の Amazon の商品情報

変更後の Amazon の商品情報

Amazon小窓機能の使い方

1. 小窓を表示させたい Amazonの商品ページ に行き、URLをコピーします。
2. コピーした Amazonの商品ページのURL を日記の「本文」欄に貼り付け、日記を書き込みます。
3. Amazon小窓 が日記に表示されます。

Amazon小窓機能は日記以外に、コミュニティトピック、コミュニティイベント、タイムラインでも利用可能です。
ただし、タイムラインに表示させたい場合、URLが長すぎる場合があります。
その場合は、下記の手順で短縮したものを貼り付けてください。
1. 「http://www.amazon.co.jp/」の後ろのスラッシュから「/dp/」の手前までは、書籍名、著者名がエンコードされた文字列なのですべて省く。
2. 「/dp/10桁のコード/」の後ろに続く文字列をすべて省く。

例:
元のURL

短縮後のURL

携帯電話 IP アドレス帯域リスト のリポジトリを github.com に移動します。

旧リポジトリ: https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/
新リポジトリ: https://github.com/openpne/mobile_ip_list

旧リポジトリは、次回の 携帯電話 IP アドレス帯域リスト の更新発生時までご利用可能です。

svn をご利用の皆様にはご迷惑をおかけしますが、何卒ご理解いただきますよう、よろしくお願いいたします。

本日 2015/12/10、旧安定版 OpenPNE 3.6.21 及び 新安定版 OpenPNE 3.8.18 をリリースしました。

今回のリリースでは、auのIPアドレス帯域変更に伴いOpenPNEのIPアドレス帯域リストを更新しました。OpenPNEの携帯版を利用している方はSNSに反映お願いします。
詳しくはこちらをご覧ください。
その他、詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2016年3月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、セッション管理に関する複数の脆弱性が存在します。

本日（2015/10/08）、この問題の対策版として OpenPNE 3.6.20.1、3.8.17.1 および opAuthMailAddressPlugin 1.3.5.1 のリリースを行いましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

また、opAuthMailAddressPlugin 以外の独自カスタマイズの認証プラグインをご利用の場合も同様の処理を行っている場合がありますので、パッチをダウンロードの上内容をご確認ください。

概要

OpenPNE 3.6.20、3.8.17 以下 および opAuthMailAddressPlugin 1.3.5 以下 には、下記のセッション管理に関する複数の脆弱性が存在していました。

1. 1. 新規登録URLを利用したなりすましログインが可能な問題
2. 2. セッション破棄の不備

本問題について

影響を受けるシステム

1. 新規登録URLを利用したなりすましログインが可能な問題

セッション破棄の不備

想定される影響

1. 新規登録URLを利用したなりすましログインが可能な問題

2. セッション破棄の不備

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。
この問題に対する回避方法はありません。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.17.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.20.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.17.1 バージョンアップ手順書
• OpenPNE 3.6.20.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 ([email protected]) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 [email protected] に連絡してください。 [email protected] はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

本日 2015/9/10、旧安定版 OpenPNE 3.6.20 及び 新安定版 OpenPNE 3.8.17 をリリースしました。

今回のリリースでは、フォームに数値以外を渡した場合に正しくバリデーションが行われない場合があったなどの不具合が修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年12月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

本日 2015/6/11、旧安定版 OpenPNE 3.6.19 及び 新安定版 OpenPNE 3.8.16 をリリースしました。

今回のリリースでは、プロフィール入力値が空の場合に起こる公開設定の不具合などが修正されております。
詳細に関しては各チケットをご覧ください。

次回の OpenPNE のリリースは 2015年9月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

続きを読む

opCalendarPlugin リードメンテナの卜部です。

opCalendarPlugin 0.9.5 をリリースしました。

今回は Google Calendar の連携において OAuth 1.0 のサポートが 4 月 20 日で終了したため、
それに対応するための修正を行いました。

バグ、要望がありましたら、以下のページから作成ください。(チケット作成はRedmineに登録している必要があります。)
・opCalendarPlugin チケット作成

インストールコマンド

$ ./symfony opPlugin:install opCalendarPlugin -r 0.9.5
$ ./symfony openpne:migrate –-target=opCalendarPlugin

インストール後、OAuth 2.0 向けの JSON ファイルを Google Developers Console から取得し 管理画面 (pc_backend.php/opCalendarPlugin) に登録してください。OAuth 1.0 を使っていた場合も新規に JSON ファイルを取得する必要があります。

OAuth 2.0 での対応と同時に行えるようになったこと

• ・一つのプライマリーのカレンダーと紐付けられるのは SNS 内の 1 アカウントとする制限をいれた
• ・Google Calendar 側で削除された場合、SNS 側でも削除を行うようにした
• ・トークンを Revoke できるように改修した (SNS 内の連携しているスケジュール、アクセストークン削除、Google Calendar 側でトークンを無効にする)

続きを読む