OpenPNE リリース情報
Home > OpenPNE リリース情報
opCommunityTopicPlugin 1.0.5 リリースしました
06 / 11 火曜日 2013
OpenPNE 開発チームの今村です。
本日、2013/06/11(火)、opCommunityTopicPlugin 1.0.5をリリースしました。
OpenPNE 3.6 で opCommunityTopicPlugin 1.0.4 以下を使用されている方は、opCommunityTopicPlugin 1.0.5 へのバージョンアップを実施してください。
変更点
1.0.4 からの変更点
変更に関する詳細は バージョン情報 をご覧ください。
今回のアップデートでは、管理画面においてトピックID以外の検索キーで検索が出来ない重要な問題などを修正いたしました。
また、6/13リリース予定のOpenPNE3.6.10にはこのバージョンがバンドルされます。
アップデート手順
コマンドライン上から opPlugin:install タスクを実行することでアップデートすることができます。
$ php symfony opPlugin:install -r 1.0.5 opCommunityTopicPlugin
$ php symfony openpne:migrate —target=opCommunityTopicPlugin
リリースの詳細
プラグインパッケージのダウンロード URL などの情報は以下のページから確認することができます。
http://plugins.openpne.jp/release/503
以上です。
新安定版 OpenPNE 3.8.6 リリースのお知らせ
05 / 09 木曜日 2013
OpenPNE 開発チームの今村です。
本日、OpenPNE 3.8.6 をリリースしました。
本リリースでは、opJsonApiActions 内の Content-Type の設定の不具合の修正などを行なっています。
次回のリリースは 2013年7月11日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
バグ修正
-
#3215 管理画面「Web 全体への年齢公開許可設定」および「メンバーのプロフィールページ公開範囲設定」のデフォルト値を変更しても設定に反映されない
-
#3247 アクティビティの「削除」リンクの title 属性が翻訳されていない
-
#3318 “Please” となるべきところが “Prease” となっている
-
#3327 管理画面のメンバー管理にてメンバーIDでの絞り込みができない。
-
#3330 opJsonApiActions 内で Content-Type の設定が2度呼び出されている
詳細については、OpenPNE 3.8.6 バージョン情報 をご覧ください。
バージョンアップ・インストール
ダウンロード
パッケージの詳細は、こちらになります。
OpenPNE 3.8.6
インストール
OpenPNE 3.8.6 のインストールは、OpenPNE3.8 セットアップ手順 をご覧ください。
OpenPNE 3.8.6 のバージョンアップは、OpenPNE3.8 バージョンアップ手順をご参考ください。
ダウンロード・バージョン情報
ダウンロード
バージョン情報
【緊急リリース】OpenPNE 3.4.21, 3.6.9, 3.8.5 以下の管理画面に存在する XSS 脆弱性対応のお知らせ (OPSA-2013-002)
05 / 08 水曜日 2013
em {
font-weight: normal;
text-decoration: underline;
}
OpenPNE 3.4.21, 3.6.9, 3.8.5 の管理画面にて利用可能な「携帯版配色設定」という機能には XSS 脆弱性が存在します。なお、この「携帯版配色設定」機能を利用していない場合や、携帯版を無効にしている場合でも、同様に本脆弱性の影響を受けることに注意してください。
本日 (5/8)、この問題の対策版として OpenPNE 3.4.21.1, 3.6.9.1, 3.8.5.1 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。
本問題について
影響を受けるシステム
以下のバージョンの OpenPNE (管理画面の「携帯版配色設定」機能を有するバージョン) を使用しているすべてのサイト
- OpenPNE 3.4.21 以下
- OpenPNE 3.6.9 以下
- OpenPNE 3.8.5 以下
※OpenPNE 3.2 系列、 OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。
脆弱性の説明
管理画面の「携帯版配色設定」機能において、ログイン済みの管理者に特定の形式のリクエストを送信させることにより、管理者のブラウザ上で任意のスクリプトを実行されてしまう可能性があります。
想定される影響
管理者のブラウザ上で任意のスクリプトを実行されてしまうことから、たとえば以下のような深刻な影響が考えられます。
- 管理者のセッション ID を窃用されてしまうことによる、管理者へのなりすまし
- 管理画面の各種機能を悪用した SNS 上のコンテンツの改竄
対策方法・回避方法
対応方法については、本エントリの「本問題への対応方法」をご覧ください。
回避方法
後述の根本対応がすぐにおこなえない場合、以下のいずれかひとつ、あるいは両方の対策を実施することで、この問題による影響を一時的に回避することができます。
- こまめに管理画面からログアウトする
- 管理画面にログインしたまま、メールやサイト (SNS 内、外を問わない) に記載された URL やリンクをクリックしない
管理画面を IP アドレス制限、 Basic / Digest 認証、公開鍵認証等によって保護することは、本問題の回避策としてはそれほど有効ではありません。一方で、管理画面のホスト名や、フロントコントローラのスクリプトファイル名 (デフォルトは pc_backend.php) を推測されにくいものに変更することは有効だといえますが、これらはあくまで保険的な回避策であり、いずれにしても前述の 2 つの回避策の実施は必要です。
本問題への対応方法
「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。
OpenPNE 3
対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。
OpenPNE 3.8.5.1
OpenPNE 3.6.9.1
OpenPNE 3.4.21.1
マイナーバージョンアップ手順
パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。
各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。
パッチ適用手順
1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します
$ patch -p1 < パッチファイル名
謝辞
本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき IPA によって報告がなされ、 JPCERT/CC による調整をしていただきました。
報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。
セキュリティ上の問題の報告手順について
OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。
セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。
安定版 OpenPNE 3.6.9 リリースのお知らせ
04 / 11 木曜日 2013
OpenPNE 開発チームの今村です。
本日、安定版 OpenPNE 3.6.9 をリリースしました。
文言表示不具合などのBackportチケットの対応が主な修正内容となっています。
次回のバージョン3.6系のリリースは 2013年6月13日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
プラグインのリリースなどのOpenPNEに関する情報は
Twitterのpnetanアカウントからも入手出来ます。
是非フォローしてみてください。
pnetan 公式アカウント
バグ修正
- #3298:選択肢を持つプロフィール項目を作成し、ユーザーが選択肢を入力後に選択肢IDを削除すると、ユーザーのプロフィールを更新することができなくなる
- #2540:強制退会確認画面においてプロフィール項目がプリセットの場合、項目名が表示されない
- #3248:アクティビティの「削除」リンクの title 属性が翻訳されていない
- #3319:“Please” となるべきところが “Prease” となっている
- #3328:管理画面のメンバー管理にてメンバーIDでの絞り込みができない
- #3216:管理画面「Web 全体への年齢公開許可設定」および「メンバーのプロフィールページ公開範囲設定」のデフォルト値を変更しても設定に反映されない
詳細については、OpenPNE 3.6.9 バージョン情報 をご覧ください。
バージョンアップ・インストール
ダウンロード
パッケージの詳細は、こちらになります。
OpenPNE 3.6.9
インストール
OpenPNE 3.6.9 のインストールは、OpenPNE3.6 セットアップ手順 をご覧ください。
OpenPNE 3.6.9 のバージョンアップは、OpenPNE3.6 バージョンアップ手順をご参考ください。
ダウンロード・バージョン情報
ダウンロード
バージョン情報
新安定版 OpenPNE 3.8.5 リリースのお知らせ
03 / 14 木曜日 2013
OpenPNE 開発チームの今村です。
本日、新安定版 OpenPNE 3.8.5 をリリースしました。
Youtube動画の小窓が表示されない問題などのBackportチケットの対応が主な修正内容となっています。
次回のリリースは 2013年5月9日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
バグ修正
-
#3308 Youtube動画の小窓が表示されない場合がある
-
#3312 選択肢を持つプロフィール項目を作成し、ユーザーが選択肢を入力後に選択肢IDを削除すると、ユーザーのプロフィールを更新することができなくなる
タスク
- #3320 携帯電話IPアドレス帯域リストの更新
詳細については、OpenPNE 3.8.5 バージョン情報 をご覧ください。
バージョンアップ・インストール
ダウンロード
パッケージの詳細は、こちらになります。
OpenPNE 3.8.5
インストール
OpenPNE 3.8.5 のインストールは、OpenPNE3.8 セットアップ手順 をご覧ください。
OpenPNE 3.8.5 のバージョンアップは、OpenPNE3.8 バージョンアップ手順をご覧ください。
ダウンロード・バージョン情報
ダウンロード
バージョン情報
安定版 OpenPNE 3.6.8 リリースのお知らせ
02 / 14 木曜日 2013
OpenPNE 開発チームの今村です。
本日、バレンタインデーに安定版 OpenPNE 3.6.8 をリリースしました。
Youtube動画の小窓が表示されない問題などのBackportチケットの対応が主な修正内容となっています。
次回のバージョン3.6系のリリースは 2013年4月11日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
バグ修正
- #3129:http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
- #3281:opValidatorDate で「年」に 0 を入力した場合に空値として認識される
- #3307:Youtube動画の小窓が表示されない場合がある
詳細については、OpenPNE 3.6.8 バージョン情報 をご覧ください。
バージョンアップ・インストール
ダウンロード
パッケージの詳細は、こちらになります。
OpenPNE 3.6.8
インストール
OpenPNE 3.6.8 のインストールは、OpenPNE3.6 セットアップ手順 をご覧ください。
OpenPNE 3.6.8 のバージョンアップは、OpenPNE3.6 バージョンアップ手順をご参考ください。
ダウンロード・バージョン情報
ダウンロード
バージョン情報
携帯電話IPアドレス帯域リストを更新しました
01 / 30 水曜日 2013
OpenPNE開発チームの 今村 です。
本日 2013/01/30、「2013/01/30 WILLCOM のIPアドレス帯域追加」に伴う、OpenPNEのIPアドレス帯域リストの更新をおこないました。
OpenPNEの携帯版を利用している方はSNSに反映をお願いします。
更新内容の詳細
https://redmine.openpne.jp/versions/297
こちらのページにて更新内容が確認できます。
ダウンロード
/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをダウンロードできます。
IPアドレス帯域リストの更新方法
OpenPNE3
OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。
lib/config/config/mobile_ip_address.yml
OpenPNE2
OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。
webapp/lib/ktaiIP.php
携帯電話IPアドレス帯域リストを更新しました
01 / 11 金曜日 2013
あけましておめでとうございます。
OpenPNE開発チームの 今村 です。
本日 2013/01/11、「2012/12/31 WILLCOM のIPアドレス帯域削除」に伴う、OpenPNEのIPアドレス帯域リストの更新をおこないました。
OpenPNEの携帯版を利用している方はSNSに反映をお願いします。
更新内容の詳細
https://redmine.openpne.jp/versions/296
こちらのページにて更新内容が確認できます。
ダウンロード
/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。
IPアドレス帯域リストの更新方法
OpenPNE3
OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。
lib/config/config/mobile_ip_address.yml
OpenPNE2
OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。
webapp/lib/ktaiIP.php
新安定版 OpenPNE 3.8.4 リリースのお知らせ
01 / 10 木曜日 2013
OpenPNE 開発チームの石切山です。
本日、新安定版 OpenPNE 3.8.4 をリリースしました。
今回のリリースでは、4バイト文字を含む文字列の投稿の際の不具合やプラグインの無効時のデータ削除操作の際の不具合など管理側の機能を主に対応しました。
また、先日12月3日に報告させていただきました「サーバ上ファイルの漏洩に繋がる脆弱性」につきましても、原因となっているOpenPNE 3 が使用している Web アプリケーションフレームワークの symfonyが提供する対策パッチを今回のリリースより適用済みとなっております。
バージョンアップをお考えでないSNS管理者の方も今一度ご確認をよろしくお願いいたします。
当問題の詳細はこちらをご覧ください。
次回のリリースは 2013年3月14日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
バグ修正
-
#3156 http のWeb全体に公開が可能な画面に https のログイン画面を経由してアクセスしようとするとログインに失敗する
-
#3177 プラグイン無効時にデータ削除を伴う操作でエラーやデータ不整合が発生する
-
#3179 4バイト文字を含んだ文字列を投稿すると、4バイト文字以降のデータが切れた状態で保存されてしまう
-
#3257 HTML挿入で テキストモード→プレビューモード→テキストモード の切り替えを行うとリンクの遷移先の指定が変更されてしまう場合がある
-
#3266 symfony1.4.20リリースされたsecurity fixを取り込む
-
#3277 customizing.cssが生成された場合削除できない場合がある
-
#3288 opValidatorDateで「年」に 0 を入力した場合に空値として認識される
詳細については、OpenPNE 3.8.4 バージョン情報 をご覧ください。
バージョンアップ・インストール
ダウンロード
パッケージの詳細は、こちらになります。
OpenPNE 3.8.4
インストール
OpenPNE 3.8.4 のインストールは、OpenPNE3.8 セットアップ手順 をご覧ください。
OpenPNE 3.8.4 のバージョンアップは、OpenPNE3.8 バージョンアップ手順をご参考ください。
ダウンロード・バージョン情報
ダウンロード
バージョン情報
安定版 OpenPNE 3.6.7 リリースのお知らせ
12 / 13 木曜日 2012
OpenPNE 開発チームの石切山です。
本日、安定版 OpenPNE 3.6.7 をリリースしました。
今回のリリースでは、4バイト文字を含む文字列の投稿の際の不具合やプラグインの無効時のデータ削除操作の際の不具合など管理側の機能を主に対応しました。
また、先日12月3日に報告させていただきました「サーバ上ファイルの漏洩に繋がる脆弱性」につきましても、原因となっているOpenPNE 3 が使用している Web アプリケーションフレームワークの symfonyが提供する対策パッチを今回のリリースより適用済みとなっております。
バージョンアップをお考えでないSNS管理者の方も今一度ご確認をよろしくお願いいたします。
当問題の詳細はこちらをご覧ください。
次回のリリースは 2013年2月14日(木) を予定しています。
不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。
リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント
バグ修正
- #3258:2 系で退会したメンバのデータが 3 系で新規登録したメンバに紐付いてしまう場合がある
- #2927:opCommunityTopicPlugin無効後、退会処理を行うとエラーになる
- #3218:食べログ小窓が機能していない
- #3229:携帯版プロフィール確認画面からプロフィール編集へ飛ぶリンクが表示されない
- #3253:携帯版の「携帯メールアドレス設定」で入力フォームが表示されない
- #3255:4バイト文字を含んだ文字列を投稿すると、4バイト文字以降のデータが切れた状態で保存されてしまう
- #3256:HTML挿入で テキストモード→プレビューモード→テキストモード の切り替えを行うとリンクの遷移先の指定が変更されてしまう場合がある
- #3264:customizing.cssが生成された場合削除できない場合がある
詳細については、OpenPNE 3.6.7 バージョン情報 をご覧ください。
バージョンアップ・インストール
ダウンロード
パッケージの詳細は、こちらになります。
OpenPNE 3.6.7
インストール
OpenPNE 3.6.7 のインストールは、OpenPNE3.6 セットアップ手順 をご覧ください。
OpenPNE 3.6.7 のバージョンアップは、OpenPNE3.6 バージョンアップ手順をご参考ください。