OpenPNE 開発チームの今村です。

本日、opTimelinePlugin 1.2.2 をリリースしました。
今回のリリースでは、タイムラインでコメントができなくなってしまう問題を対応いたしました。

変更点

1.2.1 からの変更点

• opTImelinePlugin1.2.1でコメントの投稿をすると「投稿に失敗しました」となる問題の修正

アップデート手順

コマンドライン上から opPlugin:install タスクを実行することでアップデートすることができます。

$ ./symfony opPlugin:install -r 1.2.2 opTimelinePlugin
$ ./symfony openpne:migrate —target=opTimelinePlugin

リリースの詳細

プラグインパッケージのダウンロード URL などの情報は以下のページから確認することができます。

http://plugins.openpne.jp/release/513

以上です。

OpenPNE 開発チームの今村です。

本日、opTimelinePlugin 1.2.1 をリリースしました。
今回のリリースでは、自分自身とフレンドのタイムラインを表示するガジェットの追加、キャッシュクリア時にタイムラインに投稿した画像がNo Image画像になってしまう問題などを対応いたしました。

変更点

1.2.0 からの変更点

• タイムラインの自動読み込みのタイミングで投稿を行うと投稿した内容が重複して表示されてしまう問題の修正
• スマートフォン版のコミュニティタイムライン表示でが余分に入っている問題を修正
• postformからのアクティビティ投稿時にタイムラインの更新を行うように修正
• 自分+フレンドの投稿を表示するタイムラインのガジェットを追加
• コメントがある場合にスマートフォンで表示すると、右端に空白が表示される問題の修正
• キャッシュクリア時にタイムラインに投稿済みの画像が「No Image」になってしまう問題の修正
• Android端末からPC向けタイムライン投稿画面を表示すると写真投稿ボタンが機能しない問題の回避
• SQLite等のDBMSを使用時にopTimelinePluginのガジェットを使用すると500エラーとなる問題の修正
• AndroidからPC版タイムライン投稿欄に日本語入力をすると「投稿」ボタンの有効状態が変わらない場合がある問題の修正
• フレンドのタイムラインガジェットで「フレンド」の文言をSNS内名称設定に対応させる修正
• Android標準ブラウザから画像投稿を行うと不正なファイルタイプとしてエラーとなる問題の修正

アップデート手順

コマンドライン上から opPlugin:install タスクを実行することでアップデートすることができます。

$ ./symfony opPlugin:install -r 1.2.1 opTimelinePlugin
$ ./symfony openpne:migrate —target=opTimelinePlugin

リリースの詳細

プラグインパッケージのダウンロード URL などの情報は以下のページから確認することができます。

http://plugins.openpne.jp/release/512

以上です。

em {
font-weight: normal;
text-decoration: underline;
}

すべてのバージョンの OpenPNE 3 および opOpenSocialPlugin、 opWebAPIPlugin には、 XML 外部実体参照に関する脆弱性が存在します。この脆弱性をインターネット上の第三者に悪用されることで、たとえば、サーバ上の情報の漏洩や、サーバのリソースを過度に消費される可能性があります。

本日 (09/10)、この問題の対策版リリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

本問題について

影響を受けるシステム

※以下に示す条件を満たしていたとしても、「PHP が依存する libxml2 のバージョンが 2.9.0 以上である場合」は本脆弱性の影響を受けないため、対応の必要はありません。お使いの PHP がどのバージョンの libxml2 に依存しているかどうかは、 phpinfo() の情報から確認することができます。

以下のバージョンの OpenPNE を使用しているすべてのサイト

• OpenPNE 3.8.7
• OpenPNE 3.6.11
• OpenPNE 3.4.21.1
• OpenPNE 3.2.7.6
• OpenPNE 3.0.8.5

以下のバージョンの opOpenSocialPlugin を使用しているすべてのサイト

• opOpenSocialPlugin 1.2.6
• opOpenSocialPlugin 0.9.13
• opOpenSocialPlugin 0.9.9.2
• opOpenSocialPlugin 0.8.2.2

以下のバージョンの opWebAPIPlugin を使用しているすべてのサイト

• opWebAPIPlugin 0.5.1
• opWebAPIPlugin 0.4.0
• opWebAPIPlugin 0.1.0

脆弱性の説明

XML パーサに存在する XML 外部実体参照の機能を悪用し、特定の形式の XML を OpenPNE やバンドルプラグインに読み込ませることで、サーバ上の情報の漏洩、サーバのリソースの過度な消費などの問題を引き起こされる可能性があります。

脆弱性の生じる機能は以下に示すとおりです。

• OpenPNE 3 の複数の XML パース部分に存在する XXE 脆弱性 (CVE-2013-4333)
  • OpenPNE プラグインセットアップ関連機能
  • opAuthOpenIDPlugin による OpenID 関連機能
    ※OpenPNE 3 コアに同梱された PHP OpenID Library の脆弱性 が原因であるため、 opAuthOpenIDPlugin に対する修正ではなく、 OpenPNE 3 コアに対する修正が必要となります
• opWebAPIPlugin による HTTP リクエスト処理部分に存在する XXE 脆弱性 (CVE-2013-4334)
• opOpenSocialPlugin による OpenSocial 関連機能に存在する XXE 脆弱性 (CVE-2013-4335)

対策方法・回避方法

ソースコード上での対応方法については、本エントリの「本問題への対応方法」をご覧ください。

libxml2 側での対応方法

PHP の依存する libxml2 を 2.9.0 以上のものに置き換えることで、本問題への対策となります。

この作業が難しい場合は、後述する「ソースコード上での対方法」もしくは「回避方法」の手順を実施してください。

回避方法

後述の根本対応がすぐにおこなえない場合、以下のすべての対策を実施してください。

• opWebAPIPlugin を無効にする
• opOpenSocialPlugin を無効にする
• opAuthOpenIDPlugin を無効にする
• 信頼できないプラグインをインストールしない (ただし、これは本脆弱性の有無にかかわらずもともと必須です)

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.7.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.11.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.21.2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.7.7

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.0.8.6

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.7.1 バージョンアップ手順書
• OpenPNE 3.6.11.1 バージョンアップ手順書
• OpenPNE 3.4.21.2 バージョンアップ手順書
• OpenPNE 3.2.7.7 バージョンアップ手順書
• OpenPNE 3.0.8.6 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうと opWebAPIPlugin や opOpenSocialPlugin のバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

バンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

opWebAPIPlugin

opWebAPIPlugin-0.5.1.1

opWebAPIPlugin-0.4.0.1

opWebAPIPlugin-0.1.0.1

opOpenSocialPlugin

opOpenSocialPlugin-1.2.6.1

opOpenSocialPlugin-0.9.13.1

opOpenSocialPlugin-0.9.9.3

opOpenSocialPlugin-0.8.2.3

謝辞

本脆弱性は、海老原昂輔 (co3k) 氏よりご報告いただきました。厚く御礼申し上げます。

なお、 海老原氏によれば、本件のような XML パース処理に関わる脆弱性の概要やプログラム側での対応方法について、 PHP カンファレンス 2013 にて講演する予定とのこと です。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

本日、2013/06/11(火)、opCommunityTopicPlugin 1.0.5をリリースしました。

OpenPNE 3.6 で opCommunityTopicPlugin 1.0.4 以下を使用されている方は、opCommunityTopicPlugin 1.0.5 へのバージョンアップを実施してください。

変更点

1.0.4 からの変更点

• #1680: 管理画面のトピックリストで絞り込み検索が次のページに引き継がれない
• #2597: 管理画面のトピックコメントリストでトピックID以外で検索実行した場合結果がヒットしない

変更に関する詳細は バージョン情報 をご覧ください。

今回のアップデートでは、管理画面においてトピックID以外の検索キーで検索が出来ない重要な問題などを修正いたしました。
また、6/13リリース予定のOpenPNE3.6.10にはこのバージョンがバンドルされます。

アップデート手順

コマンドライン上から opPlugin:install タスクを実行することでアップデートすることができます。

$ php symfony opPlugin:install -r 1.0.5 opCommunityTopicPlugin
$ php symfony openpne:migrate —target=opCommunityTopicPlugin

リリースの詳細

プラグインパッケージのダウンロード URL などの情報は以下のページから確認することができます。

http://plugins.openpne.jp/release/503

以上です。

ドーモ、OpenPNE 開発チームのナカジマです。

2013/06/11(火)、OpenPNE3系向けのプラグイン、opCommunityTopicPlugin 1.0.5がリリースされる予定です。

OpenPNE 3.6 で opCommunityTopicPlugin 1.0.4 以下を使用されている方は、opCommunityTopicPlugin 1.0.5 へのバージョンアップに備えてください。

変更点

1.0.4 からの変更点

• #1680: 管理画面のトピックリストで絞り込み検索が次のページに引き継がれない
• #2597: 管理画面のトピックコメントリストでトピックID以外で検索実行した場合結果がヒットしない

変更に関する詳細は バージョン情報 をご覧ください。

今回のアップデートは、バグ修正による管理画面のメンテナンス重点です。
SNS運営者にとっての便利な機能が使用できるように修正されるもので、ユーザ画面に関しては変更が一切無いです。

また、OpenPNE3.6.10のバンドルプラグインも同時進行的にアップデートされます。
2013/06/13（木）のリリース以降にOpenPNE3.6を新規インストールした場合、自動的にopCommunityTopicPlugin 1.0.5を取り込むことができます。

さて、このように開発チームのサポートは、OpenPNE3系重点です。
今回のプラグイン改修により、OpenPNE2系運営者の皆様は、ますますOpenPNE3系を使用したくなったことですね？
2013/06/13（木）のリリースのOpenPNE3.6.10では、2系から3系へのコンバート時に発生している問題を重点解決します。
備えよう。

いじょうです。

ドーモ、OpenPNE 開発チームのナカジマです。

2013/05/19(日)、 OpenPNE3系向けのプラグイン、
opHardeningPlugin 1.0.1がリリースされました。

opHardeningPluginは、開発チームのヤバイ級ハッカーである海老原＝サンにより作成された、
現行の OpenPNE 3 に不足している各種セキュリティ対策をカバーするためのプラグインです。
JSONハイジャックやIEにおけるXSSへの対応が主となっています。
このプラグインを導入することにより、あなたの運用するSNSはセキュリティ強度はポイント倍点です。

プラグイン概要

　このプラグインでは、以下のセキュリティ対策を提供します。これらの項目は設定ファイルにて有効／無効の選択ができます。

　・Android 標準ブラウザにおける JSON ハイジャック攻撃への対策
　・Internet Explorer 8 以前における JSON ハイジャック攻撃への対策
　・Internet Explorer 8 以前における JSON コンテンツを悪用した XSS 攻撃への対策
　・クリックジャッキング攻撃への対策
　・Internet Explorer における XSS 攻撃を誘発しかねない仕様を、 Internet Explorer 8 以降にて無効化する対策
　・Internet Explorer や Google Chrome、 Safari にて備わっている XSS フィルタのブロックモードを有効にすることによる、 XSS フィルタの悪用による XSS 攻撃への対策
　・UTF-8 の範囲外の文字列を悪用することによる、主に入力値検証回避を目的とした各種脆弱性への対策
　・セッションクッキーに HttpOnly 属性を付加し、 XSS 脆弱性があった場合の影響を軽減する対策
　・パスワード文字種および文字列長の不適切な制限の撤廃

詳細につきましては、海老原＝サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.0 をリリースした 」を御覧ください。

1.0.0からの変更点

　・Fix: Android 標準ブラウザ向け JSON ハイジャック対策が適用されていない (Safeguard of JSON Hijacking attack for Android default browser is not applied)
　・Add: IE 9 および IE 10 向けに VB スクリプトを利用して JSON の内容を外部から読み取ることができる問題への対策の追加 (Added safeguard of JSON Array Information Disclosure Vulnerability in IE 9 and IE 10)

1.0.0からの変更点につきましては、こちらも海老原＝サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.1 をリリースした 」を御覧ください。

インストール方法

　./symfony opPlugin:install opHardeningPlugin -r 1.0.1
　./symfony openpne:migrate —target=opHardeningPlugin

いじょうです。

OpenPNE 開発チームの市川です。

2013/04/04(木)、 OpenPNE3.8系向けのプラグイン、
opTimelinePlugin のバージョン 1.2.0 と、
opLikePluginのバージョン1.2.1をリリースしました。

opTimelinePlugin

Ver1.1.6からの変更点

・多数のバグを修正し、安定して動作するようになりました。
・機能の追加はありません。

インストール方法

$ php symfony opPlugin:install opTimelinePlugin -r 1.2.0
$ php symfony opTimelinePlugin:install

スクリーンショット(PC)

スクリーンショット(スマートフォン)

opLikePlugin

Ver1.1.1からの変更点

・多数のバグを修正し、安定して動作するようになりました。。
・対応プラグインへの依存を無くしました。
・addtagsタスクを追加し、簡単にpatchを適用できるようにしました。
・機能の追加はありません。

インストール方法

$ php symfony opPlugin:install opLikePlugin -r 1.2.1
$ php symfony openpne:migrate —target=opLikePlugin
$ php symfony opLike:addtags

リリースの詳細

プラグインパッケージのダウンロード URL などの情報は以下のページから確認することができます。

opTimelinePlugin : http://plugins.openpne.jp/release/495
opLikePlugin : http://plugins.openpne.jp/release/499/

非安定版opLikePlugin Ver.1.1.1をリリースしました

今回も非安定版のため本番環境等では使用しないで下さい。

修正点

・iphoneでいいね！が押せるようになった

インストール方法

　./symfony opPlugin:install opLikePlugin -r 1.1.1
　./symfony openpne:migrate —target=opLikePlugin

※注意：Ver.1.0.5以前とは互換性が無いため、Ver.1.0.5以前を使用している場合は別のDBを作成して下さい。

フィードバック

今回修正点1つというとても小さなリリースは、ツイッターのハッシュタグから頂いたフィードバックを元に行いました。
お試しいただき、バグ・要望等ありましたら、是非 #opLikePlugin をつけてツイッターでつぶやいて下さい！
よろしくお願いします！

opTimelinePluginに新機能を追加したバージョン1.1.6をリリースしました。
主にスマートフォンの対応を強化しました。

※今回のリリースもデベロッパー向けのリリースとなっており、動作保証等をしてません。

インストール方法

./symfony opPlugin:install opTimelinePlugin -r 1.1.6
./symfony opTimelinePlugin:install

主な追加機能
・スマホから公開範囲を設定
・スマホから画像を投稿（iPhoneには対応していません）

1.1.1からの主な修正点
・APIの高速化（searchAPIで約4倍の高速化）
・フィーチャーフォンのサブドメインバグ修正
・コミュニティ参加者以外はタイムラインを閲覧・投稿出来ないよう修正
・UI修正

スマホの投稿フォームが本体側の修正であるため、
スマホで追加された機能を使用するためには、githubから以下のOpenPNEリポジトリをクローンしてください。

git://github.com/ichikawatatsuya/OpenPNE3.git

※このリポジトリもデベロッパー向けのリリースです、本番環境では使用しないで下さい。

スクリーンショット

Androidの画面

※訂正　Ver1.1.5はインストール時にエラーになっていたため、1.1.6を改めてリリースしました。

opTimelinePluginで新機能を追加したバージョン1.1.1をリリースしました。

※今回のリリースはデベロッパー向けのリリースとなっており、動作保証等をしてません。

追加機能一覧

• 画像投稿機能（PC版のみ）
• 画像表示機能
• 公開範囲設定機能（PC版・フィーチャーフォンのみ）
• フィーチャーフォン対応
• youtube・amazonのURLで小窓を表示

スクリーンショット

・投稿フォーム

・youtube展開

・フィーチャーフォンでの表示

インストール方法

OpenPNEホームディレクトリで以下のコマンドを実行してください。

　./symfony opPlugin:install opTimelinePlugin -r 1.1.1

　./symfony opTimelinePlugin:install

「折りたたむ機能が欲しい」「ここにバグがあるよ」などフィードバックをお待ちしてます。

コメントや、Twitterでハッシュタグ「#opTimelinePlugin」をつけてつぶやいてください。