-オープンソースのSNSエンジン OpenPNEプロジェクト-

最新ブログ

Home

携帯電話IPアドレス帯域リストを更新しました

12 / 06 木曜日 2012

OpenPNE開発チームの 今村 です。

本日 2012/12/06、WILLCOM と au のIPアドレス帯域削除に伴い、OpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

ダウンロード

/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

【緊急告知】すべてのバージョンの OpenPNE 3 における、サーバ上ファイル漏洩の脆弱性についての注意喚起 (OPSA-2012-002)

12 / 03 月曜日 2012

em {
font-weight: normal;
text-decoration: underline;
}

すべてのバージョンの OpenPNE 3 にはサーバ上ファイルの漏洩に繋がる脆弱性が存在します。この脆弱性は OpenPNE 3 が使用している Web アプリケーションフレームワークの symfony において発覚した、以下の脆弱性 (CVE-2012-5574) に由来するものです。

Security release: symfony 1.4.20 released - Symfony

http://symfony.com/blog/security-release-symfony-1-4-20-released

Secunia Advisory SA51372 : Symfony Arbitrary File Disclosure Vulnerability

http://secunia.com/advisories/51372/

本脆弱性は、 OpenPNE 3 およびバンドルプラグインのソースコードに変更を加えずに運営している場合においては、影響が極めて限定的なものとなるため、緊急の対策版リリースは実施しません (脆弱性への修正は通常リリースにておこなう予定です)。

しかしながら、サイトの運用状況や、ソースコードの変更内容によっては、本脆弱性により無視のできない影響を受けることがあります。 OpenPNE 3 によるサイトを運営する方は、本エントリの内容を確認し、脆弱性によって発生するリスクを受容できないと判断できる場合は、早急な対策をおこなうことを強く推奨します。

本問題について

影響を受けるシステム

「画像以外のファイルアップロード機能を、 OpenPNE 3 のソースコードを改変するか、もしくはプラグインを導入することによって追加しているサイト」 (以下、「影響を受けるシステム A」と呼称します) は、本脆弱性によって甚大な影響を受ける可能性があります

また、以下の OpenPNE を使用しているサイト (以下、「影響を受けるシステム B」と呼称します) は、本脆弱性による限定的な影響を受ける可能性があります。

  • OpenPNE 3.8.3 以下、 OpenPNE 3.6.6 以下、 OpenPNE 3.4.21 以下、 OpenPNE 3.2.7.6 以下、 OpenPNE 3.0.8.5 以下のすべてのバージョン

「影響を受けるシステム B」において、画像のファイルアップロード機能を有するプラグインを使用している場合、その機能も同様に限定的な影響を受けます。バンドルプラグインのなかで該当するものは以下の通りです。

  • opAlbumPlugin
  • opCommunityTopicPlugin
  • opDiaryPlugin
  • opMessagePlugin

脆弱性の説明

symfony にて提供されているフォームフレームワークには、ファイルの送信をおこなう際のリクエストの検証に不備があり、特定の形式のパラメータを含むことで、 Web アプリケーションが設置されているサーバ上のファイル をアップロードすることができてしまうという問題があります。

この実装上の問題を悪用し、 Web サーバの権限で読み込み可能な任意のファイルを Web サーバの公開領域にアップロードさせることで、攻撃者はそのファイルの内容 (データベースの接続情報など) を取得することができます。

OpenPNE では、このフォームフレームワークを使用してフォームの構築や入力値の検証をおこなっています。したがって、ファイルのアップロードを受け付けるほとんどすべての場面において本脆弱性の影響を受けることになります。

想定される影響

  • 「影響を受けるシステム A」においては、本脆弱性によって、 Web サーバの権限によって読み取り可能なサーバ上のすべてのファイルの情報 (データベースの接続情報なども含まれます) を悪意のある攻撃者によって不正に取得される危険性があります
  • 「影響を受けるシステム B」においては、本脆弱性によって、 Web サーバの権限によって読み取り可能な サーバ上のすべての画像ファイルの情報を悪意のある攻撃者によって不正に取得される危険性があります

このうち、「影響を受けるシステム A」に関する影響は甚大であると考えられます。

一方で、「影響を受けるシステム B」については、影響はほとんど限定的です。 OpenPNE 自身に同梱された画像ファイルは既に世間一般に公開されているものです。また、画像ファイルアップロード機能によりアップロードされた画像自体には公開範囲の制限がありません。そのため、この脆弱性を利用することで攻撃者が新たに取得可能になる情報はないと考えられます。ただし、運用上の都合等によって サーバ上に秘密の画像を設置しているようなケースでは、本脆弱性によりその画像を取得される危険があります

対策方法

以下のいずれかの対応をおこなうことで、本脆弱性の影響を防ぐことができます。

  • 1. symfony の配布するパッチを適用する
  • 2. ファイルアップロードが可能な機能に対するアクセスを、 Web サーバの設定等によって制限する

ただし、「2. ファイルアップロードが可能な機能に対するアクセスを、 Web サーバの設定等によって制限する」については、お使いのプラグイン等によって設定方法が異なるため、ここでは、「1. symfony の配布するパッチを適用する」の対応についてのみ説明いたします。

パッチの適用方法

$ patch -d ./lib/vendor/symfony -p3 < パッチファイル名

セキュリティ上の問題の報告手順について

OpenPNE プロジェクトでは、以下に案内している通り、セキュリティ上の問題の報告を受け付ける窓口 (security@openpne.jp) を用意しています。

https://redmine.openpne.jp/projects/op3/wiki/How_To_Report_Issue_%28ja%29#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%95%8F%E9%A1%8C%E3%82%92%E5%A0%B1%E5%91%8A%E3%81%99%E3%82%8B

セキュリティ上の問題を発見した場合は、通常の公開されたバグ報告の手順を踏むのではなく、 security@openpne.jp に連絡してください。 security@openpne.jp はクローズドなメーリングリストであり、このメーリングリストでおこなわれた脆弱性の詳細情報などのやり取りがそのまま公開されることはありません。

新安定版 OpenPNE 3.8.3 リリースのお知らせ

11 / 08 木曜日 2012

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.3 をリリースしました。
今回のリリースでは、Core 機能に含まれるバグをメインに修正しました。

次回のリリースは 2013年1月10日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

  • #3217:食べログ小窓が機能していない
  • #3222:携帯版プロフィール画面で「自己紹介」の改行が反映されない
  • #3228:携帯版プロフィール確認画面からプロフィール編集へ飛ぶリンクが表示されない
  • #3230:./symfony ccでキャッシュをクリアした直後だけメッセージが翻訳されずに表示される
  • #3231:携帯版の「携帯メールアドレス設定」で入力フォームが表示されない
  • #3242:コミュニティ詳細画面の「Community Top」リンク文言が翻訳されていない

詳細については、OpenPNE 3.8.3 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.8.3

インストール

OpenPNE 3.8.3 のインストールは、OpenPNE3.8 セットアップ手順 をご覧ください。

OpenPNE 3.8.3 のバージョンアップは、OpenPNE3.8 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

携帯電話IPアドレス帯域リストを更新しました

11 / 05 月曜日 2012

OpenPNE開発チームの 今村 です。

本日 2012/11/05、WILLCOMの「削除IPアドレス帯域(2012年3月8日削除分)」の対応のため、OpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

今回のリリースの経緯ですが、2012/11/01のリリース後に、重複しているIPアドレスがあることがわかりました。調査の結果、2012年3月8日の時点で削除されるべきIPアドレスが削除されていませんでした。今回のリリースは、その削除されるべきIPの削除対応になります。
IP帯域リストの削除漏れによる、SNSへの影響は特にありません。
ご心配をお掛けして申し訳ありませんでした。

ダウンロード

/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

携帯電話IPアドレス帯域リストを更新しました

11 / 01 木曜日 2012

OpenPNE開発チームの 今村 です。

本日 2012/11/01、WILLCOM (2012年11月1日)通信設備の設備更改に伴う一時的な増設対応に伴いOpenPNEのIPアドレス帯域リストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

ダウンロード

/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

安定版 OpenPNE 3.6.6 リリースのお知らせ

10 / 11 木曜日 2012

OpenPNE 開発チームの石切山です。

本日、安定版 OpenPNE 3.6.6 をリリースしました。
今回のリリースでは、Core 機能に含まれるバグをメインに修正しました。

次回のリリースは 2012年12月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

  • #2620: 携帯版プロフィール画面で「自己紹介」の改行が反映されない
  • #2626: フレンド管理画面でプロフィール画像とニックネームが同じ行に表示される
  • #2863: pc_backend_dev.php や mobile_frontend_dev.php で見るとi18nのキャッシュについてのwarningが出る
  • #2915: プロフィール編集ページにてCSRFトークン値を変更した場合、エラーメッセージが翻訳されない
  • #3191: pc_backend の「画像投稿」ボタンの input 要素に不要な class 属性が付加されている
  • #3214: 携帯版プロフィール画面で「自己紹介」の項目名が表示されない

詳細については、OpenPNE 3.6.6 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.6.6(zipアーカイブ) は以下のボタンからダウンロードできます。

  • zip版ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.6.6

インストール

OpenPNE 3.6.6 のインストールは、OpenPNE 3.6 セットアップ手順 を確認ください。

インストール

イ ンストール方法は、同梱の セットアップ手順 をご覧ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

新安定版 OpenPNE 3.8.2 リリースのお知らせ

09 / 13 木曜日 2012

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.2 をリリースしました。

今回の修正により、PHP5.2環境でもタイムライン等の機能が動作するようになりました。
詳細については、以下チケットをご覧ください。

#3178: 三項演算子の二項目を省略した記述はPHP5.2環境で動作しない

次回のリリースは 2012年11月8日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

  • #3100: 管理画面コミュニティ一覧画面でコミュニティが存在しない場合に英語へ翻訳されない部分がある
  • #3101: 英語表示の時にコメマーク「※」が用いられている部分がある
  • #3102: 管理画面側の翻訳カタログにプラグインの機能へのカタログがある
  • #3103: フレンド管理画面でプロフィール画像とニックネームが同じ行に表示される
  • #3104: ログイン画面以外の携帯からメールアドレスなどを入力するテキストボックスにistyle属性が設定されていない
  • #3105: 小窓になりうるドメインを入力すると正しくないURLでリンクが生成される
  • #3109: 管理画面コミュニティ削除画面で「削除」が英語に翻訳されない
  • #3110: 管理画面から画像をアップロードしたときに透過画像のときに透過されなくなる
  • #3111: 携帯版で管理者がコミュニティ退会確認画面を表示した場合のエラーメッセージが翻訳されてない
  • #3113: 「Cookie 内のユニークな ID」が携帯を機種変したときのメルアド・パスワードログイン時に生成されない
  • #3169: OpenPNE.yml の ssl_base_url に api.php 向けの設定が存在しない
  • #3171: プロフィール編集画面にて、最大値制限もしくは最小値制限に違反した場合に表示されるエラーメッセージが翻訳されない
  • #3172: 携帯版 「コミュニティ」の文言がSNS内名称設定に対応してないワードがある
  • #3173: 強制退会確認画面においてプロフィール項目がプリセットの場合、項目名が表示されない
  • #3174: 管理画面コミュニティ管理で「コミュニティ管理者の承認が必要」となるべき部分が「コミュニティ参加者の承認が必要」となっている
  • #3175: 管理画面の「ログアウト」「管理画面設定」「パスワード変更」「コミュニティ管理」などが日本語化されていない
  • #3176: 新規登録時の個体識別番号のエラーメッセージが翻訳されていない
  • #3178: PHP5.2環境で動作するようにする
  • #3180: 【要望】日記の絵文字
  • #3194: ログイン停止にしたメンバで自動ログインにチェックをいれてログインしようとしたときに「Internal Server Error」が発生する

詳細については、OpenPNE 3.8.2 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.8.2

インストール

OpenPNE 3.8.2 のインストールは、OpenPNE 3.8 セットアップ手順 をご覧ください。

OpenPNE 3.8.2 のバージョンアップは、OpenPNE 3.8 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

新安定版 OpenPNE 3.8.1 リリースのお知らせ

08 / 16 木曜日 2012

OpenPNE 開発チームの石切山です。

本日、新安定版 OpenPNE 3.8.1 をリリースしました。
リリースが予定より遅れてしまい、
お待ちいただいている皆様にご迷惑をおかけして申し訳ございませんでした。

今回のリリースでは、スマートフォンで携帯メールアドレスを利用している場合、
OpenPNE の登録をはじめとしたメールアドレスに関する機能が使用できなくなる問題を
メインに対応しました。
今回の修正により、スマートフォンで携帯メールアドレスを利用していても、
メールアドレスに関する機能が使用可能になりました。

詳細については、以下チケットをご覧ください。
#3159: スマートフォンで携帯メールアドレスを利用することができない

次回のリリースは 2012年9月13日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

【2012/08/20 16:10 追記】
本バージョン以降、opAuthMailAddressPlugin のプラグイン設定から『ログイン用メールアドレス設定』を削除し、
設定によらず「PCメールアドレスと携帯メールアドレスの両方を受け付ける」の場合と同様の挙動となるように変更してあります。
以前のバージョンから利用しているSNS管理者の方は、ご確認お願いします。

バグ修正

  • #3083: —internetオプション付けないでインストールした場合、プラグイン設定ページにアクセスできない
  • #3081: activity/community.json 実行時にDoctrineでエラーが発生する場合がある
  • #3098: 携帯版で副管理者がコミュニティを削除するボタンが表示されてしまっている
  • #3099: 携帯版プロフィール画面で「自己紹介」の項目名が表示されない
  • #3106: 携帯版 「コミュニティ」の文言がSNS内名称設定に対応してないワードがある
  • #3107: 新規登録時の個体識別番号のエラーメッセージが翻訳されていない
  • #3108: 管理画面コミュニティ管理で「コミュニティ管理者の承認が必要」となるべき部分が「コミュニティ参加者の承認が必要」となっている
  • #3116: 管理画面からデイリーニュースを無効に設定すると、メンバー側で「メール設定」のページが開けなくなる
  • #3117: #2512 に対応した 3.6 系以上では、管理画面からデイリーニュースを無効に設定しても、メンバー側のメール設定にデイリーニュースの項目が表示されている
  • #3118: 自動ログイン状態のメンバーをログイン停止にしたとき最初の1回だけログインに成功してしまう
  • #3119: 翻訳ファイルの優先順位がキャッシュ時に逆になっている
  • #3148: #1193 の修正により op_include_form() を使用している箇所で renderHelp() の内容が出力されていない
  • #3149: メールアドレス変更時のトークンチェックが正しくおこなわれない
  • #3157: 自動ログイン時に自動ログイン用のCookieが削除される
  • #3159: スマートフォンで携帯メールアドレスを利用することができない
  • #3160: pc_frontend の test で opWebResponse を利用しないことによるテスト阻害

詳細については、OpenPNE 3.8.1 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.8.1

インストール

OpenPNE 3.8.1 のインストールは、OpenPNE 3.8 セットアップ手順 をご覧ください。

OpenPNE 3.8.1 のバージョンアップは、OpenPNE 3.8 バージョンアップ手順をご参考ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

OpenPNE 3.8.1 リリース再々延期のお知らせ

08 / 10 金曜日 2012

OpenPNE 開発チームの石切山です。

OpenPNE 3.8 リリース再々延期についてのお知らせです。
OpenPNE 3.8.1 リリース再延期のお知らせ にて、

次回のリリースは 2012年8月9日(木) を予定しています。

とお知らせしましたが、実装の目処が立たず、リリースが難しい状況となっています。

次回 OpenPNE 3.8.1 のリリースは 2012/8/16 (木) を予定しています。

この度は、お知らせがリリース予定日を過ぎてからとなってしまったこと、また度重なる予定の変更によりリリースをお待ちいただいいている皆様には大変ご迷惑をおかけして申し訳ございません。
一刻も早いリリースに向け開発チーム一同、鋭意作業を進めておりますので、今しばらくお待くださいますようよろしくお願いいいたします。

安定版 OpenPNE 3.6.5 リリースのお知らせ

08 / 09 木曜日 2012

OpenPNE 開発チームの石切山です。

本日、安定版 OpenPNE 3.6.5 をリリースしました。
今回のリリースでは、Core 機能に含まれるバグをメインに修正しました。

次回のリリースは 2012年10月11日(木) を予定しています。

不具合、何か気づいた点などあれば公式 SNSredmine.openpne.jp などで報告していただければと思います。

リリース情報などの情報は pnetan が Twitter でよくつぶやいていますので
是非フォローしてみてください。
pnetan 公式アカウント

バグ修正

  • #3128: メールアドレス変更時のトークンチェックが正しくおこなわれない

詳細については、OpenPNE 3.6.5 バージョン情報 をご覧ください。

バージョンアップ・インストール

ダウンロード

OpenPNE 3.6.5(zipアーカイブ) は以下のボタンからダウンロードできます。

  • zip版ダウンロード

パッケージの詳細は、こちらになります。
OpenPNE 3.6.5

インストール

OpenPNE 3.6.5 のインストールは、OpenPNE 3.6 セットアップ手順 を確認ください。

インストール

インストール方法は、同梱の セットアップ手順 をご覧ください。

ダウンロード・バージョン情報

ダウンロード

/pne-downloads

バージョン情報

redmine.openpne.jp のバージョン情報

アーカイブ
最近の記事
タグ一覧

ページの先頭に戻る