OpenPNE 開発チームの國忠です。

OpenPNE3のスマートフォン対応について最近動き始めましたのでご連絡です。

このブログはオフィシャルな情報をフォーマルにお知らせする雰囲気なので、

別のブログでカジュアルに緩い感じで開発の進捗状況を書いていこうと思います。

↓のブログになります。

http://d.hatena.ne.jp/openpne/20110630/1309464123

OpenPNE 開発チームの坂田です。

本日、安定版 OpenPNE 3.4.14 をリリースしました。
/archives/6105/でお知らせした通り、SoftBankの携帯端末においてSSL通信の仕様変更に伴う修正をリリースしました。

次回のリリースは 2011年8月11(木) を予定しています。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.4.14(zipアーカイブ) は以下のボタンからダウンロードできます。

• zip版ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.4.14

インストール

OpenPNE 3.4.14 のインストールは、OpenPNE3.4 セットアップ手順 を確認ください。

3.2.x から 3.4 へのアップグレード、3.4 の以前のバージョンからのマイナーバージョンアップを行う場合は、このドキュメントを参考ください。

主なバグの修正 Version 3.4.14

• #2240: Yahoo! ケータイにおける SSL 仕様変更対応（絵文字）の問題を対応しました。

詳細については、OpenPNE 3.4.14 バージョン情報 をご覧ください。

バンドルされるプラグインの追加・更新情報

今回は、opOpenSocialPlugin、opWebAPIPlugin のバージョンアップを含んでいます

opOpenSocialPlugin 0.9.10 → 0.9.11

ブログ告知:opOpenSocialPlugin 安定版 0.9.11, 1.0.6, 1.2.4 リリースのお知らせ
修正内容:0.9.11 (5件のバグ修正)

opWebAPIPlugin 0.4.0 → 0.5.0

ブログ告知:opWebAPIPlugin 0.5.0 をリリースしました
修正内容:0.5.0 (1件のバグ修正)

OpenPNE 開発チームの今村です。

本日 2011/6/24 (金)、開発版 OpenPNE 3.6beta11 をリリースしました。

今回のリリースには、Yahoo! ケータイにおける SSL 仕様変更対応が含まれています。
Yahoo! ケータイにおける SSL 仕様変更についての詳細は下記のリンクを御覧ください。
http://creation.mb.softbank.jp/web/web\_ssl.html

次回の開発版 OpenPNE 3.6beta12 のリリースは、 7 月 22 日となる予定です。

バグ修正

※こちらに掲載されているバグ修正は、「安定版で既に修正されたもの」「これからリリースされる安定版でも修正されるもの」が含まれます。

• #2187: Yahoo! ケータイにおける SSL 仕様変更対応 (Shingo Yamada)
• #2207: Yahoo! ケータイにおける SSL 仕様変更対応（絵文字）(Shingo Yamada)
• #2076: パスワード再発行処理を行なおうとすると http://opauthmailaddress/ に飛ばされてしまう (Kousuke Ebihara)
• #2139: [PATCH] Cookie for automatic login is deleted when automatic login is done (自動ログイン時に自動ログイン用のCookieが削除される）(Kousuke Ebihara)
• #2043: pc_frontend から利用可能な認証プラグインがない状態でメール投稿がおこなえない (Masato Nagasawa)

その他のバグ修正については、redmine.openpne.jp のバージョン情報 をご覧ください。

バンドルされるプラグインの追加・更新情報

opWebAPIPlugin: 0.4.0 → 0.5.0

リリース情報

opOpenSocialPlugin: 1.2.2.1 → 1.2.4

リリース情報

opIntroFriendPlugin: 0.9.1.2 → 0.9.2.1

リリース情報

バージョンアップ・インストール

バージョンアップ

バージョンアップ方法は、バージョンアップ手順 をご覧ください。

インストール

インストール方法は、同梱の セットアップ手順 をご覧ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

今後のスケジュールおよびその他タスクの進捗について

今後のスケジュール

OpenPNE 3.6beta11 以降の開発スケジュールについてでもお知らせしましたが今後のスケジュールは以下を予定しています。

OpenPNE 3.6beta12

2011/07/22 リリース予定

OpenPNE 3.6beta13

2011/08/19 リリース予定

OpenPNE 3.6RC1

2011/09/16 リリース予定

OpenPNE 3.6.0

2011/09/30 リリース予定

全機能に対する動作テスト

テスト要件の見直し、及びテスト仕様の確定がなされ現状テストケースの修正が行なわれています。
総タスクの40%の進捗となっており、最終betaがリリースされる前（8月上旬）頃にはこのタスクも完了する見込みです。

開発へのご協力のお願い

「OpenPNE3.6.0の開発にご協力を！」でお願いしていた項目について、引き続きみなさんにご協力をお願いします。

それから、ご報告いただいたバグ報告のなかで、開発チームが再現できていないものがいくらかあります。そのような報告については、ご報告者様に対して、公式 SNS のメッセージ経由などで詳細な情報提供の依頼などのご連絡を差し上げているものがあります。報告から長期間が経過してしまっているものもあるなかで大変申し訳ないのですが、心当たりのある方はぜひご返信等いただければ幸いです。

OpenPNE 開発チームの坂田です。

安定版 OpenPNE 3.4.14 リリース日を2011年7月14日(木)から2011年6月27(月)に変更いたします。
SoftBankの携帯端末においてSSL通信の仕様が6月末に変更されるため、その仕様変更が実施される前に
リリースをおこないための対応となります。

今後のリリース予定は以下のようになります
■OpenPNE 3.4.14
- 2011年7月14日(木) → 2011年6月27(月) に前倒し
■OpenPNE 3.4.15
- 2011年8月11日(木) のまま変更なし

OpenPNE 3.4.14 の対応項目は下記を予定しています。

OpenPNE 3.4.14 ロードマップ

#post_201106_server_down ul li {
list-style-type: disc;
}

OpenPNE開発チームの小川です。

本日発生いたしました、OpenPNE関連サービスにおけるサーバ障害についてお知らせします。

現在、すべてのサービスが正常に復旧していることを確認しております。
停止中はご不便をおかけして申し訳ございませんでした。今後ともOpenPNEをよろしくお願いいたします。

【追記】
6/19 0:15〜1:48 の間、sns.openpne.jp および plugins.openpne.jp において再度アクセス不能な状態となっておりましたが、復旧いたしました。

発生日時

2011年6月18日 13:43 〜 20:20

影響

障害発生期間中、以下のドメインで提供しているすべてサービスにアクセス不能となった。

• www.openpne.jp
• sns.openpne.jp
• redmine.openpne.jp
• plugins.openpne.jp
• update.openpne.jp
• ci.openpne.jp

原因

サーバホスティング先でのハードウェア障害。

OpenPNE 開発チームの真吾です。

本日 2011/06/17 (金)、 opWebAPIPlugin 0.5.0 をリリースしました。

変更点

0.4.0 からの変更点

• Bug（バグ） #1070: diary の API で max-results が機能していない

変更に関する詳細は バージョン情報 をご覧ください。

アップデート手順

コマンドライン上から opPlugin:install タスクを実行することでアップデートすることができます。

$ php symfony opPlugin:install -r 0.5.0 opWebAPIPlugin
$ php symfony cc

OpenPNE 開発チームの坂田です。

本日、予定通り安定版 OpenPNE 3.4.13 をリリースしました。

次回のリリースは 2011年7月14(木) を予定しています。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.4.13(zipアーカイブ) は以下のボタンからダウンロードできます。

• zip版ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.4.13

インストール

OpenPNE 3.4.13 のインストールは、OpenPNE3.4 セットアップ手順 を確認ください。

3.2.x から 3.4 へのアップグレード、3.4 の以前のバージョンからのマイナーバージョンアップを行う場合は、このドキュメントを参考ください。

主なバグの修正 Version 3.4.13

• #2042: Notification of Registration URLのテンプレートを編集して招待メールを送信しても編集が反映されない問題を対応しました。
• #2044: pc_frontend から利用可能な認証プラグインがない状態でメール投稿がおこなえない問題を対応しました。
• #2143: Cannot modify Custom CSS in an empty character string (カスタムCSSを空にして保存することができない問題を対応しました。)

詳細については、OpenPNE 3.4.13 バージョン情報 をご覧ください。

バンドルされるプラグインの追加・更新情報

今回はバンドルプラグインの更新はありません。

#post_201102_emergency_release ul li {
list-style-type: disc;
}

opAuthMobileUIDPlugin 1.0.0 および opAuthMobileUIDPlugin 1.3.1 以下にはログイン処理の実装に誤りがあり、なりすましログインがおこなわれてしまう問題が存在しています。

本日（05/16）、この問題の対策版として opAuthMobileUIDPlugin 1.0.0.1、opAuthMobileUIDPlugin 1.3.1.1 のリリースをおこないました。また、この問題を引き起こした OpenPNE 側の実装不備の修正のために OpenPNE 3.4.12.1、 OpenPNE 3.6beta10 のリリースも併せておこないました。

内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

本問題について

影響を受けるシステム

• opAuthMobileUIDPlugin 1.0.0 もしくは opAuthMobileUIDPlugin 1.3.1 以下を利用しており、以下のすべての条件を満たしているサイト
  • OpenPNE 2 からのアップグレードをおこなっている
  • そのアップグレード作業が OpenPNE 3.4.12 以下もしくは OpenPNE 3.6beta9 以下のバージョンを利用しておこなわれた

概要

opAuthMobileUIDPlugin に実装上の不備があり、 OpenPNE 2 からのアップグレードをおこなった OpenPNE 3 に対して特定の操作をおこなうことで、なりすましログインがおこなわれてしまう問題がありました。

想定される影響

なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更を、なりすましたメンバーの権限でおこなわれてしまう可能性があります。

ただし、なりすましの対象となるメンバーは特定の条件を満たしている必要があり、悪意のあるユーザが自由にメンバーを選択できるというものではありません。

対応方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

以下のいずれかを実施することで、この問題を回避することができます。

• 管理画面の「SNS 設定」において、「携帯版使用設定」を「使用しない」に設定する
• 管理画面の「プラグイン設定」内「認証プラグイン設定」において、 opAuthMobileUIDPlugin を無効にする

謝辞

本問題は、囲碁SNS goxi 管理人 政光順二様よりご報告いただきました。厚く御礼申し上げます。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下のすべての対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta10

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.12.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.6beta10 バージョンアップ手順書 (バージョンが 3.4 と表記されていますが、この手順は 3.6.x でも有効なものです)
• OpenPNE 3.4.12.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうとバンドルプラグインのバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

今回対策されたプラグインのうち、バンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、各プラグインのリリース情報を参考に更新をおこなってください。

opAuthMobileUIDPlugin

opAuthMobileUIDPlugin-1.0.0.1

opAuthMobileUIDPlugin-1.3.1.1

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

http://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

もしセキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの坂田です。

本日、安定版 OpenPNE 3.4.12 をリリースしました。

次回のリリースは 2011年6月9(木) を予定しています。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.4.12(zipアーカイブ) は以下のボタンからダウンロードできます。

• zip版ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.4.12

インストール

OpenPNE 3.4.12 のインストールは、OpenPNE3.4 セットアップ手順 を確認ください。

3.2.x から 3.4 へのアップグレード、3.4 の以前のバージョンからのマイナーバージョンアップを行う場合は、このドキュメントを参考ください。

主なバグの修正 Version 3.4.12

• #2015:[.recentList dl] や [.commentList dl] などで float の回り込み解除の対処がされていないため、レイアウトが崩れる
• #2016: #1432 で修正した $size に整数値以外の値を渡すことができる

詳細については、OpenPNE 3.4.12 バージョン情報 をご覧ください。

バンドルされるプラグインの追加・更新情報

今回、opOpenSocialPlugin のバージョンアップを含んでいます

0.9.9.2 → 0.9.10

ブログ告知:opOpenSocialPlugin 安定版 0.9.10, 1.0.5, 1.2.3 リリースのお知らせ
修正内容:0.9.10 (8件のバグ修正)

#post_201101_emergency_release_supplement ul li {
list-style-type: disc;
}

※このエントリは「【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001)」の補足記事となります。

「【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001)」でお知らせしたように、先の脆弱性への対応版としてリリースされた OpenPNE 3.0.8.4, 3.2.7.5, 3.4.10.1, 3.6beta9 では、「PHP 5.3.4 以降で OpenPNE プラグインが導入できない」問題についての対応もおこなわれています。本エントリでは、この問題についての解説をおこなっていきます。

本問題について

影響を受けるシステム

OpenPNE 3.0.8.3 以下、 3.2.7.4 以下、 3.4.11 以下、 3.6beta8 以下を、 PHP 5.3.4 以降で動作させているサイト

概要

OpenPNE 3 で利用しているバージョンの PEAR::Archive_Tar (tar アーカイブを扱うライブラリ) に存在していたバグと、 PHP 5.3.4 以降に加わったセキュリティ面での改善が組み合わさることで、「openpne:install、openpne:migrate や opPlugin:install といったコマンドの実行時に、特定の条件を満たしたプラグインのインストールが途中で失敗する」という問題が発生していました。

なお、技術的な詳細については本件の対応をおこなったチケットに記されておりますので、そちらをご覧ください。

回避方法

同梱されている Archive_Tar を新しいバージョンに差し替えることで、この問題を回避することができます。

最新の Archive_Tar は http://pear.php.net/package/Archive_Tar/download からダウンロードすることができます。ダウンロードしたアーカイブを展開し、 OpenPNE 3 の lib/vendor/PEAR/Archive/Tar.php を 展開ディレクトリの Archive/Tar.php と差し替えてください。

なお、 PHP 5.3.3 以下で動作させるようにすることでもこの問題を回避することができますが、 PHP のバージョンを落とすということは、最新版で修正済みのバグやセキュリティ脆弱性の影響を受けたり、性能の低下などのリスクを冒すことになるため、推奨しません。

本問題への対応方法

「【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001)」でご案内している手順により、対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

本件に関するお詫び

末筆ながら、以下二点に関してお詫び申し上げます。誠に申し訳ございませんでした。

• OPSA-2011-001 の脆弱性と本件という、まったくの別事象に関する修正をまとめて緊急リリースせざるを得ず、このように判りにくい告知になってしまったこと
• 本件は実質的に OpenPNE のインストールがおこなえないという致命的な問題であるにも関わらず、発覚からおよそ 3 ヶ月間対応されないままであったこと