OpenPNE 開発チームの今村です。

本日、OpenPNE 3.6.10 をリリースしました。
本リリースでは、2系から3系へのコンバート時に発生する不具合などの修正を行なっています。
opCommunityTopicPluginのバンドルバージョンも先日リリースした 1.0.5 に更新されています。

次回のリリースは 2013年8月8日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

• #3190 2系から3系にコンバートする際に正しくフォームタイプがコンバートされない
• #3192 コンバート時にプロフィールの公開範囲デフォルト設定が正しくコンバートされない
• #2924 コミュニティホーム画面でコミュニティ書き込み通知メールのフォームの「Save」が翻訳されない

詳細については、OpenPNE 3.6.10 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.6.10

インストール

OpenPNE 3.6.10 のインストールは、OpenPNE3.6 セットアップ手順 をご覧ください。

OpenPNE 3.6.10 のバージョンアップは、OpenPNE3.6 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

OpenPNE 開発チームの今村です。

本日、2013/06/11(火)、opCommunityTopicPlugin 1.0.5をリリースしました。

OpenPNE 3.6 で opCommunityTopicPlugin 1.0.4 以下を使用されている方は、opCommunityTopicPlugin 1.0.5 へのバージョンアップを実施してください。

変更点

1.0.4 からの変更点

• #1680: 管理画面のトピックリストで絞り込み検索が次のページに引き継がれない
• #2597: 管理画面のトピックコメントリストでトピックID以外で検索実行した場合結果がヒットしない

変更に関する詳細は バージョン情報 をご覧ください。

今回のアップデートでは、管理画面においてトピックID以外の検索キーで検索が出来ない重要な問題などを修正いたしました。
また、6/13リリース予定のOpenPNE3.6.10にはこのバージョンがバンドルされます。

アップデート手順

コマンドライン上から opPlugin:install タスクを実行することでアップデートすることができます。

$ php symfony opPlugin:install -r 1.0.5 opCommunityTopicPlugin
$ php symfony openpne:migrate —target=opCommunityTopicPlugin

リリースの詳細

プラグインパッケージのダウンロード URL などの情報は以下のページから確認することができます。

http://plugins.openpne.jp/release/503

以上です。

ドーモ、OpenPNE 開発チームのナカジマです。

2013/06/11(火)、OpenPNE3系向けのプラグイン、opCommunityTopicPlugin 1.0.5がリリースされる予定です。

OpenPNE 3.6 で opCommunityTopicPlugin 1.0.4 以下を使用されている方は、opCommunityTopicPlugin 1.0.5 へのバージョンアップに備えてください。

変更点

1.0.4 からの変更点

• #1680: 管理画面のトピックリストで絞り込み検索が次のページに引き継がれない
• #2597: 管理画面のトピックコメントリストでトピックID以外で検索実行した場合結果がヒットしない

変更に関する詳細は バージョン情報 をご覧ください。

今回のアップデートは、バグ修正による管理画面のメンテナンス重点です。
SNS運営者にとっての便利な機能が使用できるように修正されるもので、ユーザ画面に関しては変更が一切無いです。

また、OpenPNE3.6.10のバンドルプラグインも同時進行的にアップデートされます。
2013/06/13（木）のリリース以降にOpenPNE3.6を新規インストールした場合、自動的にopCommunityTopicPlugin 1.0.5を取り込むことができます。

さて、このように開発チームのサポートは、OpenPNE3系重点です。
今回のプラグイン改修により、OpenPNE2系運営者の皆様は、ますますOpenPNE3系を使用したくなったことですね？
2013/06/13（木）のリリースのOpenPNE3.6.10では、2系から3系へのコンバート時に発生している問題を重点解決します。
備えよう。

いじょうです。

ドーモ、OpenPNE 開発チームのナカジマです。

2013/05/19(日)、 OpenPNE3系向けのプラグイン、
opHardeningPlugin 1.0.1がリリースされました。

opHardeningPluginは、開発チームのヤバイ級ハッカーである海老原＝サンにより作成された、
現行の OpenPNE 3 に不足している各種セキュリティ対策をカバーするためのプラグインです。
JSONハイジャックやIEにおけるXSSへの対応が主となっています。
このプラグインを導入することにより、あなたの運用するSNSはセキュリティ強度はポイント倍点です。

プラグイン概要

　このプラグインでは、以下のセキュリティ対策を提供します。これらの項目は設定ファイルにて有効／無効の選択ができます。

　・Android 標準ブラウザにおける JSON ハイジャック攻撃への対策
　・Internet Explorer 8 以前における JSON ハイジャック攻撃への対策
　・Internet Explorer 8 以前における JSON コンテンツを悪用した XSS 攻撃への対策
　・クリックジャッキング攻撃への対策
　・Internet Explorer における XSS 攻撃を誘発しかねない仕様を、 Internet Explorer 8 以降にて無効化する対策
　・Internet Explorer や Google Chrome、 Safari にて備わっている XSS フィルタのブロックモードを有効にすることによる、 XSS フィルタの悪用による XSS 攻撃への対策
　・UTF-8 の範囲外の文字列を悪用することによる、主に入力値検証回避を目的とした各種脆弱性への対策
　・セッションクッキーに HttpOnly 属性を付加し、 XSS 脆弱性があった場合の影響を軽減する対策
　・パスワード文字種および文字列長の不適切な制限の撤廃

詳細につきましては、海老原＝サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.0 をリリースした 」を御覧ください。

1.0.0からの変更点

　・Fix: Android 標準ブラウザ向け JSON ハイジャック対策が適用されていない (Safeguard of JSON Hijacking attack for Android default browser is not applied)
　・Add: IE 9 および IE 10 向けに VB スクリプトを利用して JSON の内容を外部から読み取ることができる問題への対策の追加 (Added safeguard of JSON Array Information Disclosure Vulnerability in IE 9 and IE 10)

1.0.0からの変更点につきましては、こちらも海老原＝サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.1 をリリースした 」を御覧ください。

インストール方法

　./symfony opPlugin:install opHardeningPlugin -r 1.0.1
　./symfony openpne:migrate —target=opHardeningPlugin

いじょうです。

ドーモ、OpenPNE 開発チームのナカジマです。

先日、OpenPNE 3.6.10のリリース選定会を行いました。
そこで、次回6月13日のリリース内容が決定されました。

以下の対応を行うことに決定しましたので、お知らせします。
今回は、2系から3系へのコンバートで発生していた問題を重点解決します。

対応チケット

#3190 2系から3系にコンバートする際に正しくフォームタイプがコンバートされない
#3192 コンバート時にプロフィールの公開範囲デフォルト設定が正しくコンバートされない
#2924 コミュニティホーム画面でコミュニティ書き込み通知メールのフォームの「Save」が翻訳されない

---

バグのせいでコンバートに踏み切れなかった皆様、お待たせいたしました。
来月には決断的コンバートが可能となります。

3系に興味が無い皆様、この機に3系へのコンバートに踏み切ってはいかがでしょうか。
開発チームは現在、安定版3.6系及び新安定版3.8系のサポートに実際注力しています。
2系から3系へコンバートすることで、より細やかなアップデート、そして最新のプラグインを使用出来る可能性が約束されます。

なお、有料ではありますが、公式のサポートもあります。
コンバートが不安という方や、本格的SNS運営を視野に入れる皆様の支えになれば幸いです。

いじょうです。

OpenPNE 開発チームの今村です。

本日、OpenPNE 3.8.6 をリリースしました。
本リリースでは、opJsonApiActions 内の Content-Type の設定の不具合の修正などを行なっています。

次回のリリースは 2013年7月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

• #3215 管理画面「Web 全体への年齢公開許可設定」および「メンバーのプロフィールページ公開範囲設定」のデフォルト値を変更しても設定に反映されない

• #3247 アクティビティの「削除」リンクの title 属性が翻訳されていない

• #3318 “Please” となるべきところが “Prease” となっている

• #3327 管理画面のメンバー管理にてメンバーIDでの絞り込みができない。

• #3330 opJsonApiActions 内で Content-Type の設定が2度呼び出されている

詳細については、OpenPNE 3.8.6 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.8.6

インストール

OpenPNE 3.8.6 のインストールは、OpenPNE3.8 セットアップ手順 をご覧ください。

OpenPNE 3.8.6 のバージョンアップは、OpenPNE3.8 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

em {
font-weight: normal;
text-decoration: underline;
}

OpenPNE 3.4.21, 3.6.9, 3.8.5 の管理画面にて利用可能な「携帯版配色設定」という機能には XSS 脆弱性が存在します。なお、この「携帯版配色設定」機能を利用していない場合や、携帯版を無効にしている場合でも、同様に本脆弱性の影響を受けることに注意してください。

本日 (5/8)、この問題の対策版として OpenPNE 3.4.21.1, 3.6.9.1, 3.8.5.1 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用を、どちらも難しい場合は回避策の実施をお願いいたします。

本問題について

影響を受けるシステム

以下のバージョンの OpenPNE (管理画面の「携帯版配色設定」機能を有するバージョン) を使用しているすべてのサイト

• OpenPNE 3.4.21 以下
• OpenPNE 3.6.9 以下
• OpenPNE 3.8.5 以下

※OpenPNE 3.2 系列、 OpenPNE 3.0 系列は問題となる機能を有していないため、本脆弱性の影響を受けません。

脆弱性の説明

管理画面の「携帯版配色設定」機能において、ログイン済みの管理者に特定の形式のリクエストを送信させることにより、管理者のブラウザ上で任意のスクリプトを実行されてしまう可能性があります。

想定される影響

管理者のブラウザ上で任意のスクリプトを実行されてしまうことから、たとえば以下のような深刻な影響が考えられます。

• 管理者のセッション ID を窃用されてしまうことによる、管理者へのなりすまし
• 管理画面の各種機能を悪用した SNS 上のコンテンツの改竄

対策方法・回避方法

対応方法については、本エントリの「本問題への対応方法」をご覧ください。

回避方法

後述の根本対応がすぐにおこなえない場合、以下のいずれかひとつ、あるいは両方の対策を実施することで、この問題による影響を一時的に回避することができます。

• こまめに管理画面からログアウトする
• 管理画面にログインしたまま、メールやサイト (SNS 内、外を問わない) に記載された URL やリンクをクリックしない

管理画面を IP アドレス制限、 Basic / Digest 認証、公開鍵認証等によって保護することは、本問題の回避策としてはそれほど有効ではありません。一方で、管理画面のホスト名や、フロントコントローラのスクリプトファイル名 (デフォルトは pc_backend.php) を推測されにくいものに変更することは有効だといえますが、これらはあくまで保険的な回避策であり、いずれにしても前述の 2 つの回避策の実施は必要です。

本問題への対応方法

「影響をうけるシステム」で示した条件を満たすすべてのサイトは、以下の対応を実施してください。

OpenPNE 3

対策版へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.8.5.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6.9.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.21.1

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書に記載されている通りに作業を実施してください。

各バージョンのマイナーバージョンアップ手順書は以下からも確認することができます。

• OpenPNE 3.8.5.1 バージョンアップ手順書
• OpenPNE 3.6.9.1 バージョンアップ手順書
• OpenPNE 3.4.21.1 バージョンアップ手順書

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

謝辞

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき IPA によって報告がなされ、 JPCERT/CC による調整をしていただきました。

報告者の方、および、本問題の解決にあたられた関係者各位に対して厚く御礼申し上げます。

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

OpenPNE 開発チームの今村です。

本日、安定版 OpenPNE 3.6.9 をリリースしました。
文言表示不具合などのBackportチケットの対応が主な修正内容となっています。

次回のバージョン3.6系のリリースは 2013年6月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNS や redmine.openpne.jp などで報告していただければと思います。

プラグインのリリースなどのOpenPNEに関する情報は
Twitterのpnetanアカウントからも入手出来ます。
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

• #3298:選択肢を持つプロフィール項目を作成し、ユーザーが選択肢を入力後に選択肢IDを削除すると、ユーザーのプロフィールを更新することができなくなる
• #2540:強制退会確認画面においてプロフィール項目がプリセットの場合、項目名が表示されない
• #3248:アクティビティの「削除」リンクの title 属性が翻訳されていない
• #3319:“Please” となるべきところが “Prease” となっている
• #3328:管理画面のメンバー管理にてメンバーIDでの絞り込みができない
• #3216:管理画面「Web 全体への年齢公開許可設定」および「メンバーのプロフィールページ公開範囲設定」のデフォルト値を変更しても設定に反映されない

詳細については、OpenPNE 3.6.9 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.6.9

インストール

OpenPNE 3.6.9 のインストールは、OpenPNE3.6 セットアップ手順 をご覧ください。

OpenPNE 3.6.9 のバージョンアップは、OpenPNE3.6 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

OpenPNE 開発チームの市川です。

2013/04/04(木)、 OpenPNE3.8系向けのプラグイン、
opTimelinePlugin のバージョン 1.2.0 と、
opLikePluginのバージョン1.2.1をリリースしました。

opTimelinePlugin

Ver1.1.6からの変更点

・多数のバグを修正し、安定して動作するようになりました。
・機能の追加はありません。

インストール方法

$ php symfony opPlugin:install opTimelinePlugin -r 1.2.0
$ php symfony opTimelinePlugin:install

スクリーンショット(PC)

スクリーンショット(スマートフォン)

opLikePlugin

Ver1.1.1からの変更点

・多数のバグを修正し、安定して動作するようになりました。。
・対応プラグインへの依存を無くしました。
・addtagsタスクを追加し、簡単にpatchを適用できるようにしました。
・機能の追加はありません。

インストール方法

$ php symfony opPlugin:install opLikePlugin -r 1.2.1
$ php symfony openpne:migrate —target=opLikePlugin
$ php symfony opLike:addtags

リリースの詳細

プラグインパッケージのダウンロード URL などの情報は以下のページから確認することができます。

opTimelinePlugin : http://plugins.openpne.jp/release/495
opLikePlugin : http://plugins.openpne.jp/release/499/

OpenPNEと一緒に配布していた、価格コム小窓機能は機能を停止することになりました。
機能の停止スケジュールは以下のとおりです。

2013/03/31 商品表示機能停止
2013/04/01～6/30 停止アナウンス期間
2013/07/01 サーバ停止（小窓の部分がエラーと表示される）

OpenPNE運営者のみなさま、6月中にカカクコム小窓のアンインストール作業をおねがいします。

アンインストール方法
cmdディレクトリから、該当するJavaScriptファイルを削除することで、アンインストールできます。

OpenPNE3
/web/cmd/kakaku.com.js

OpenPNE2
/public_html/cmd/kakaku.com.js