OpenPNE 開発チームの今村です。

本日 2013/12/12、opBlogPlugin 1.0.3 をリリースしました。
今回のリリースでは、opBlogPlugin を使用しているメンバーが退会しようとすると500エラーとなる問題を対応いたしました。

変更点

1.0.2 からの変更点

• #3473 opBlogPlugin を使用しているメンバーが退会しようとすると500エラーとなる問題の対応

アップデート手順

opBlogPlugin 1.0.2 からアップデートする場合、コマンドライン上から opPlugin:install タスクを実行することでアップデートすることができます。

$ ./symfony opPlugin:install -r 1.0.3 opBlogPlugin
$ ./symfony openpne:migrate —target=opBlogPlugin

opBlogPlugin 1.0.1以前のバージョンからアップデートする場合は、まず 1.0.2 にアップデートしてから、1.0.3 へのアップデートを実行してください。
opBlogPlugin 1.0.2 へのアップデートはこちらを御覧ください。

リリースの詳細

プラグインパッケージのダウンロード URL などの情報は以下のページから確認することができます。

http://plugins.openpne.jp/release/514

以上です。

OpenPNE開発チームの今村です。

OpenPNEのセットアップをもっと手軽にできるように、各種プラグインを同梱したOpenPNE3.8.9のzipパッケージを作成しました。

手軽になった点

• インストール時の設定ファイル（OpenPNE.yml、ProjectConfiguration.class.php）の作成が不要になりました
• 開発環境用のファイル（pc_backend_dev.php、pc_frontend_dev.phpなどのdevファイル）の削除が不要になりました
• プラグインを同梱しタイムライン、いいね、日記などのプラグインをインストール後すぐに利用可能になりました

同梱プラグインについて

本パッケージには下記のプラグインが同梱されています。

• opTimelinePlugin 1.2.2
• opLikePlugin 1.2.1
• opDiaryPlugin 1.4.1
• opCommunityTopicPlugin 1.0.5
• opMessagePlugin 1.0.0
• opSkinThemePlugin 1.0.0

パッケージのダウンロード

ダウンロードはこちらです。

• プラグイン同梱版zipパッケージ

インストール方法

インストール手順はパッケージに同梱されているこちらのドキュメントをご覧ください。
インストール手順

より手軽にOpenPNEをセットアップできるように今後も改善していく予定です。
質問、疑問などはOpenPNE公式SNSやpnetan宛につぶやいてみてください。

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.9 をリリースしました。
今回のリリースでは OpenPNE 3.6.12 でおこなった機能テストの正常化を、
3.8系に対しても反映いたしました。
また本日、opTImelinePlugin 1.2.1 のリリースもいたしました。
こちらも合わせて使ってみてください。
opTImelinePlugin 1.2.1のリリースについてはこちらの告知を御覧ください。
→ /archives/12209/

次回、OpenPNE 3.8.10 のリリースは 2014年1月9日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

• #3464 機能テストに存在する雛形のままのテストコードを削除する
• #3471 zlib 拡張の入っていない環境で opDoctrineRecordTest.php のテストが実行できない
• #3466 MemberConfigFormTest, MemberRelationshipTableTest がsendmailコマンドを実行しようとする
• #3465 テンプレートを使用するアクティビティの表示時に、対応するテンプレートが activity_template.yml 内に存在しない場合が想定されていない
• #3463 opFormItemGenerator::generateValidator() に渡すフィールドの IsRequired や IsTrim を省略すると E_NOTICE レベルのエラーが発生する
• #3462 snsActionsTest.php でsfTestFunctionalクラスに存在しないisStatusCodeメソッドを呼び出している
• #3461 pc_backend の存在しないアクションに対するテストコードを削除する
• #3460 pc_backendの機能テスト designActionsTest.php の実行に失敗する
• #3459 opI18N::generateApplicationMessages() から呼ばれる sfMessageSource::factory() の引数の型が適切でない
• #3422 テストデータのカテゴライズ機能がfunctionalテストで正しく動作していない
• #3420 アクションの基底クラスとその派生クラスでメソッドのシグニチャが一致していない
• #3418 opMobileUserAgent::__construct() で E_STRICT エラーが発生する
• #3441 携帯電話IPアドレス帯域リストの更新

詳細については、OpenPNE 3.8.9 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.8.9

インストール

OpenPNE
3.8.9 のインストールは、OpenPNE3.8 セットアップ手順 をご覧ください。

OpenPNE 3.8.9 のバージョンアップは、OpenPNE3.8 バージョンアップ手順をご参考ください。

ダウンロード

ダウンロード

/pne-downloads

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.6.12 をリリースしました。
今回のリリースではOpenPNEに同梱されているユニットテスト、機能テストの正常化を行っています。テスト結果が出力される前に異常終了していたテストは全て修正され、結果が出力されるようになりました。

今回のリリースはあくまでもテストが異常終了せずに実行できるようにする修正のみとなっています。依然としてテスト結果NGのテストは残っていますが、今後のリリースでテスト項目についての修正を進めていく予定です。

次回のOpenPNE3.6系のリリースは 2013年12月12日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

対応したチケットは下記の通りです。

• #3417 opMobileUserAgent::__construct() で E_STRICT エラーが発生する
• #3419 アクションの基底クラスとその派生クラスでメソッドのシグニチャが一致していない
• #3421 テストデータのカテゴライズ機能がfunctionalテストで正しく動作していない
• #3432 OpenPNE 本体のテストコードに opCommunityTopicPlugin 依存のテストが含まれている
• #3433 opI18N::generateApplicationMessages() から呼ばれる sfMessageSource::factory() の引数の型が適切でない
• #3434 pc_backendの機能テスト designActionsTest.php の実行に失敗する
• #3435 pc_backend の存在しないアクションに対するテストコードを削除する
• #3437 opFormItemGenerator::generateValidator() に渡すフィールドの IsRequired や IsTrim を省略すると E_NOTICE レベルのエラーが発生する
• #3438 機能テストに存在する雛形のままのテストコードを削除する
• #3439 テンプレートを使用するアクティビティの表示時に、対応するテンプレートが activity_template.yml 内に存在しない場合が想定されていない
• #3444 MemberConfigFormTest, MemberRelationshipTableTest がsendmailコマンドを実行しようとする
• #3448 opFormItemGenerator の trim 指定の参照要素名が間違っている
• #3449 文言設定で指定の言語がない場合Fatalエラーとなる
• #3450 pc_frontend の test で opWebResponse を利用しないことによるテスト阻害
• #3451 zlib 拡張の入っていない環境で opDoctrineRecordTest.php のテストが実行できない

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.6.12

インストール

OpenPNE 3.6.12 のインストールは、OpenPNE3.6 セットアップ手順 をご覧ください。

OpenPNE 3.6.12 のバージョンアップは、OpenPNE3.6 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.8 をリリースしました。
本リリースでは、アクティビティの画像投稿に関する機能改善を行っております。
アクティビティへの画像の複数枚投稿がJSON APIから可能になっています。

次回、OpenPNE3.8.9のリリースは 2013年11月14日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

• #3075 activity/post.json の画像投稿対応
• #3387 メンバーが退会しても、管理画面にメンバーのイメージ画像が残っている
• #3389 opToolkit::getRandom() に static キーワードが付いていない
• #3397 opBrowser::post() でファイルのアップロードをテストできるようにする
• #3399 ActivityDataTable::updateActivity() メソッドで画像付きのアクティビティが作成できない
• #3400 activity/post.json の images パラメータを複数枚の画像アップロードに対応させる

詳細については、OpenPNE 3.8.8 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.8.8

インストール

OpenPNE 3.8.8 のインストールは、OpenPNE3.8 セットアップ手順 をご覧ください。

OpenPNE 3.8.8 のバージョンアップは、OpenPNE3.8 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

em {
font-weight: normal;
text-decoration: underline;
}

すべてのバージョンの OpenPNE 3 および opOpenSocialPlugin、 opWebAPIPlugin には、 XML 外部実体参照に関する脆弱性が存在します。この脆弱性をインターネット上の第三者に悪用されることで、たとえば、サーバ上の情報の漏洩や、サーバのリソースを過度に消費される可能性があります。

本日 (09/10)、この問題の対策版リリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

本問題について

影響を受けるシステム

※以下に示す条件を満たしていたとしても、「PHP が依存する libxml2 のバージョンが 2.9.0 以上である場合」は本脆弱性の影響を受けないため、対応の必要はありません。お使いの PHP がどのバージョンの libxml2 に依存しているかどうかは、 phpinfo() の情報から確認することができます。

以下のバージョンの OpenPNE を使用しているすべてのサイト

• OpenPNE 3.8.7
• OpenPNE 3.6.11
• OpenPNE 3.4.21.1
• OpenPNE 3.2.7.6
• OpenPNE 3.0.8.5

以下のバージョンの opOpenSocialPlugin を使用しているすべてのサイト

• opOpenSocialPlugin 1.2.6
• opOpenSocialPlugin 0.9.13
• opOpenSocialPlugin 0.9.9.2
• opOpenSocialPlugin 0.8.2.2

以下のバージョンの opWebAPIPlugin を使用しているすべてのサイト

• opWebAPIPlugin 0.5.1
• opWebAPIPlugin 0.4.0
• opWebAPIPlugin 0.1.0

脆弱性の説明

XML パーサに存在する XML 外部実体参照の機能を悪用し、特定の形式の XML を OpenPNE やバンドルプラグインに読み込ませることで、サーバ上の情報の漏洩、サーバのリソースの過度な消費などの問題を引き起こされる可能性があります。

脆弱性の生じる機能は以下に示すとおりです。

• OpenPNE 3 の複数の XML パース部分に存在する XXE 脆弱性 (CVE-2013-4333)
  • OpenPNE プラグインセットアップ関連機能
  • opAuthOpenIDPlugin による OpenID 関連機能
    ※OpenPNE 3 コアに同梱された PHP OpenID Library の脆弱性 が原因であるため、 opAuthOpenIDPlugin に対する修正ではなく、 OpenPNE 3 コアに対する修正が必要となります
• opWebAPIPlugin による HTTP リクエスト処理部分に存在する XXE 脆弱性 (CVE-2013-4334)
• opOpenSocialPlugin による OpenSocial 関連機能に存在する XXE 脆弱性 (CVE-2013-4335)

対策方法・回避方法

ソースコード上での対応方法については、本エントリの「本問題への対応方法」をご覧ください。

libxml2 側での対応方法

PHP の依存する libxml2 を 2.9.0 以上のものに置き換えることで、本問題への対策となります。

この作業が難しい場合は、後述する「ソースコード上での対方法」もしくは「回避方法」の手順を実施してください。

回避方法

後述の根本対応がすぐにおこなえない場合、以下のすべての対策を実施してください。

• opWebAPIPlugin を無効にする
• opOpenSocialPlugin を無効にする
• opAuthOpenIDPlugin を無効にする
• 信頼できないプラグインをインストールしない (ただし、これは本脆弱性の有無にかかわらずもともと必須です)

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.7.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.11.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.21.2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.7.7

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.0.8.6

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.7.1 バージョンアップ手順書
• OpenPNE 3.6.11.1 バージョンアップ手順書
• OpenPNE 3.4.21.2 バージョンアップ手順書
• OpenPNE 3.2.7.7 バージョンアップ手順書
• OpenPNE 3.0.8.6 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE プラグイン

OpenPNE 3 本体のマイナーバージョンアップをおこなうと opWebAPIPlugin や opOpenSocialPlugin のバージョンアップも自動的におこなわれます。

そのため、バンドルプラグインについては個別にバージョンアップする必要はありません。

バンドルされていないバージョンを利用しているなどの理由により、自動的にバージョンアップがおこなわれない場合、プラグインのリリース情報を参考に更新をおこなってください。

opWebAPIPlugin

opWebAPIPlugin-0.5.1.1

opWebAPIPlugin-0.4.0.1

opWebAPIPlugin-0.1.0.1

opOpenSocialPlugin

opOpenSocialPlugin-1.2.6.1

opOpenSocialPlugin-0.9.13.1

opOpenSocialPlugin-0.9.9.3

opOpenSocialPlugin-0.8.2.3

謝辞

本脆弱性は、海老原昂輔 (co3k) 氏よりご報告いただきました。厚く御礼申し上げます。

なお、 海老原氏によれば、本件のような XML パース処理に関わる脆弱性の概要やプログラム側での対応方法について、 PHP カンファレンス 2013 にて講演する予定とのこと です。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE開発チームの 今村 です。

本日 2013/09/02、OpenPNEのIPアドレス帯域リストの更新をおこないました。
今回の変更は auのIPアドレス帯域の追加と削除に伴うものです。
OpenPNEの携帯版を利用している方はSNSに反映をお願いします。

更新内容の詳細

https://redmine.openpne.jp/versions/305
こちらのページにて更新内容が確認できます。

ダウンロード

/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをダウンロードできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.6.11 をリリースしました。
本リリースでは、不要なデータが残り続ける不具合の修正を行なっています。

今回の修正も77webさんからのプルリクエストで頂いたものです。
プルリクエストありがとうございます。
バグ報告は公式SNSより頂きました。
consさん、バグ報告ありがとうございました！

OpenPNEプロジェクトでは、皆様からのよう要望やバグ報告、プルリクエストを率先して取り込みます！

次回のリリースは 2013年10月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

• #3376 メンバーが退会しても、管理画面にメンバーのイメージ画像が残っている

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.6.11

インストール

OpenPNE 3.6.11 のインストールは、OpenPNE3.6 セットアップ手順 をご覧ください。

OpenPNE 3.6.11 のバージョンアップは、OpenPNE3.6 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.7 をリリースしました。
本リリースでは、スマートフォンで発生する不具合の修正を行なっています。

「アクセスブロックした相手がスマートフォンでフレンドとして表示される」問題は77webさんからのプルリクエストにより修正されました。
プルリクエストありがとうございました！
また、この問題は、公式コミュニティから報告を頂いたバグです。
consさん、バグ報告ありがとうございました！

次回のリリースは 2013年9月12日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

• #3362 アクセスブロックした相手がスマートフォンでフレンドとして表示される

• #3363 日記やアルバムなどに投稿された画像のサムネイル表示が全て正方形に切り抜かれる問題

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.8.7

インストール

OpenPNE 3.8.7 のインストールは、OpenPNE3.8 セットアップ手順 をご覧ください。

OpenPNE 3.8.7 のバージョンアップは、OpenPNE3.8 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.6.10 をリリースしました。
本リリースでは、2系から3系へのコンバート時に発生する不具合などの修正を行なっています。
opCommunityTopicPluginのバンドルバージョンも先日リリースした 1.0.5 に更新されています。

次回のリリースは 2013年8月8日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

• #3190 2系から3系にコンバートする際に正しくフォームタイプがコンバートされない
• #3192 コンバート時にプロフィールの公開範囲デフォルト設定が正しくコンバートされない
• #2924 コミュニティホーム画面でコミュニティ書き込み通知メールのフォームの「Save」が翻訳されない

詳細については、OpenPNE 3.6.10 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.6.10

インストール

OpenPNE 3.6.10 のインストールは、OpenPNE3.6 セットアップ手順 をご覧ください。

OpenPNE 3.6.10 のバージョンアップは、OpenPNE3.6 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報