今村です。
先日、新安定版OpenPNE3.6.0のリリースについて、手嶋屋開発部としての方針を話し合い、結論がまとまりましたのでご報告したいと思います。

リリース延期します

当初の予定ではOpenPNE3.6beta1がリリースされた7/18(日)の1ヶ月後を目安に8月中のリリースを目指して頑張ってきましたが、リリースを大きく変更をしたいと思います。

変更後の日付は 10/15(金) を予定しています。

延期理由について

リリース延期の理由は、OpenPNEプロジェクトの主要メンバーである手嶋屋開発部のリソースが足りず、リリースまでに必要なタスクを消化し8月中にOpenPNE3.6.0をリリースするのは非常に厳しいと判断したためです。

現在、OpenPNE3.6のbeta版では130を超えるチケットを対応中です。
これはコア機能のみのチケット数で、バンドルプラグインの対応チケットを含めると更にその数は増加します。
現在、手嶋屋開発部では多くの案件を抱えている状況もあり、OpenPNE3.6.0の開発に多くの力を注ぐことが厳しい状態にあります。
こうした状況下で、

• ・安定版として充分な品質を保ちリリースできるか
• ・このリソースで実装が完了できるか
• ・このリソースでしっかりテストが出来るか

という観点を考慮し、延期という選択をしました。

今後のOpenPNE3.6.0開発体制について

延期に際し、手嶋屋開発部内ではOpenPNE3.6.0の開発プロセスについて以下の4点を中心に見直し、今後の開発およびリリースに挑むつもりです。

• 1.タスクの進捗管理をしっかり行う
• 2.対応チケットの優先度設定の見直しをする
• 3.さらなる協力者の募集をし、プロジェクトに参加しやすい環境を整備する
• 4.テストプロセスにおいて、デモサイトなどでのフィードバックを受ける

これらを踏まえ最大限の努力をしていくつもりですが、今後の開発の中で対応チケット数の増加や、動作テストの進捗などのよって充分な品質が保てない、と判断した場合はさらなる延期も考えていますのでご了承ください。

おわりに

近日中に「OpenPNE3.6.0の開発にご協力を」という呼びかけをします。
そちらのエントリでは具体的な協力方法などを示しますので、引き続きOpenPNEプロジェクトの動向のチェックをおねがいします。
みなさんのご協力があれば、10/15(金)のリリースが早まるかもしれません。
ご協力よろしくお願いします。

■———————————————————■
http://redmine.openpne.jp/
OpenPNE3プロジェクトRedmine

http://demo3.openpne.jp/
OpenPNE3デモサイト

http://sns.openpne.jp/
OpenPNE公式SNS

http://twitter.com/pnetan/
pnetanのTwitterアカウント
■———————————————————■

総セットアップサイト数は5998 http://openpne.jp
ついぴーねから

開発版 OpenPNE 3.5.2 以降には、いくつかの箇所においてユーザ入力値の処理が適切におこなわれていないことによる XSS 脆弱性が存在します。
本日（8/18）、この問題の対策版として OpenPNE 3.6beta3 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。

なお、安定版としてリリースをおこなっている OpenPNE 3 系（OpenPNE 3.0, OpenPNE 3.2, OpenPNE 3.4）は本問題の影響を受けません。

本問題について

影響を受けるシステム

すべての OpenPNE 3.5.2 から OpenPNE 3.6beta2

概要

OpenPNE 内のいくつかの箇所において、ユーザ入力値の処理が適切におこなわれておらず、閲覧者のブラウザ上で任意のスクリプトが実行可能な状態にありました。

想定される影響

ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。

対策方法・回避方法

本エントリの「本問題への対応方法」をご覧ください。

本問題への回避方法はありません。早急なバージョンアップをお願いいたします。

謝辞

本問題について、 kinugawamasato 様からご報告をいただきました。厚く御礼申し上げます。

本問題への対応方法

OpenPNE 3.5.2 以降を利用しているすべての SNS は、 OpenPNE 3.6beta3 へのマイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.6beta3

[.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書をご覧ください。

• OpenPNE 3.6beta3 バージョンアップ手順書

このドキュメントの手順はマイナーバージョンアップにも有効です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

2010/08/18 15:21 追記: OpenPNE 3.2.7.2, OpenPNE 3.4.6.2 の修正パッチを公開しました
OpenPNE開発チームのきわです。

本日 2010/08/17、致命的な不具合を修正した OpenPNE2.14.7.3, OpenPNE 3.2.7.2, OpenPNE 3.4.6.2 をリリースしました。

修正内容

ニックネームに絵文字が含まれている場合に、PC版でコメント返信補助機能が正常動作しなくなる

内容

日記やトピックのコメント返信補助機能を有効にしている場合、PC版ニックネームに絵文字を含んでいるメンバーに対して返信をしようとしても、ニックネームを正しく参照することができません。

PC版で、コメント欄のニックネーム表示部分に絵文字が不適切な形で出力されてしまっていることが原因です。携帯版ではこの問題は生じません。

対象バージョン

• OpenPNE 2.14.7.2

※ OpenPNE2.12 はコメント返信補助機能が存在しないため、この問題の影響はありません

管理画面 ナビゲーション設定で項目を追加すると、既存の項目が削除される

内容

管理画面「ナビゲーション設定」において、既にナビゲーション項目が1つ以上登録されているナビに新たな項目を追加しようとしても追加に失敗し、さらに既に登録されている項目のうち一番下のものが削除されてしまう。

対象バージョン

• OpenPNE 3.2.7.1
• OpenPNE 3.4.6.1

バージョンアップ

OpenPNE2

ダウンロードは以下より行えます。

OpenPNE 2.14.7.3

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

マイナーバージョンアップ手順

以下、OpenPNEをそのまま設置したノンカスタマイズ状態のSNSのバージョンアップ手順となります。

1. config.php のバックアップをとります（ダウンロードなど）
2. マイナーバージョンアップする新しいOpenPNEをダウンロードし、現在設置されているSNSと同じ階層のディレクトリに解凍します
3. 1でバックアップをとったconfig.phpを 2 のディレクトリにコピーします
4. 新規設置の手順と同じように、varディレクトリのパーミッションを 777 に変更します
5. 古いOpenPNEのディレクトリの名前を変更し、新しいOpenPNEと置き換えます

例:
【旧】 mysns/
【新】 OpenPNE-2.14.7.3/
↓ディレクトリ名を変更
【旧】 old_mysns/
【新】 mysns/

以上でマイナーバージョンアップは完了です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリ（OPENPNE_DIR）にパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p0 < パッチファイル名

OpenPNE3

ダウンロードは以下より行えます。

OpenPNE 3.2.7.2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.6.2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書をご覧ください。

• OpenPNE3.2.7.2
• OpenPNE3.4.6.2

このドキュメントの手順はマイナーバージョンアップにも有効です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

※ (2010/08/12 18:45) 文言を一部修正しました。

OpenPNE開発チームのきわです。

昨日、OpenPNE2.8～OpenPNE3.6beta に対して脆弱性対応リリースを行ないましたが、
その中でも一部のバージョンに致命的な不具合が発見されたので急ぎ報告します。

対象バージョン

• OpenPNE 2.14.7.2
• OpenPNE 3.2.7.1
• OpenPNE 3.4.6.1

不具合内容

ニックネームに絵文字が含まれている場合に、PC版でコメント返信補助機能が正常動作しなくなる

内容

日記やトピックのコメント返信補助機能を有効にしている場合、PC版ニックネームに絵文字を含んでいるメンバーに対して返信をしようとしても、ニックネームを正しく参照することができません。

PC版で、コメント欄のニックネーム表示部分に絵文字が不適切な形で出力されてしまっていることが原因です。携帯版ではこの問題は生じません。

対象バージョン

• OpenPNE 2.14.7.2

応急処置

応急処置方法はありません。コメント返信補助機能が不要であれば、SNS管理画面の「SNS設定」＞「SNS設定」にて「コメント返信補助機能設定」を「使用しない」設定にしてください。

管理画面 ナビゲーション設定で項目を追加すると、既存の項目が削除される

内容

管理画面「ナビゲーション設定」において、既にナビゲーション項目が1つ以上登録されているナビに新たな項目を追加しようとしても追加に失敗し、さらに既に登録されている項目のうち一番下のものが削除されてしまう。

対象バージョン

• OpenPNE 3.2.7.1
• OpenPNE 3.4.6.1

応急処置

応急処置方法はありません。大変申し訳ありませんがナビゲーション項目の追加を行わないようにしてください。

対応版のリリースについて

上記不具合に対応した OpenPNE2.14.7.3, OpenPNE3.2.7.2, OpenPNE3.4.6.2 を後日リリースします。
リリースの日程は決まり次第このブログに追記します。
2010/08/16 18:21 追記: 上記バージョンのリリースは 2010/08/17(火) 中に行ないます。

運営者・SNS利用者の皆さんにはご不便をおかけして大変申し訳ありませんが、よろしくお願いします。

OpenPNE 開発チームの卜部です。

本日、予定していました安定版 OpenPNE 3.4.7 リリースにつきまして、
昨日の脆弱性リリース対応に
全力を注いでいたため、定期リリースは来月 9/9 (木) に延期させて頂くことになりました。

現時点では最新安定版 OpenPNE 3.4.6.1 をご利用頂きますようお願いいたします。

本日、OpenPNE2・OpenPNE3 で発覚した複数の脆弱性について対応リリース・パッチの提供をおこないました。
バージョンごとに対応が異なりますので、内容をご確認の上バージョンアップまたはパッチの適用をお願いします。

対応内容

Google マップ 小窓にクロスサイトスクリプティング（XSS）脆弱性

Google マップ 小窓にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、ターゲットとなったSNSで閲覧メンバーが登録している非公開情報の漏洩・なりすましログインなどを許してしまう可能性があります。

Google マップ 小窓についての説明は以下をご覧ください。

OpenPNE小窓機能紹介

/cmd/

小窓の使い方 - Google マップ 小窓

/cmd/list/#maps.google.co.jp

影響を受けるシステム

Google マップ 小窓を有効にしている全てのOpenPNE2 OpenPNE3

応急処置方法

OpenPNE2

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」＞「CMD設定」にて以下の小窓を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。

• maps.google.co.jp
• maps.google.com
• www.google.co.jp
• www.google.com

OpenPNE3

応急処置方法はありません。早急なバージョンアップをお願いします。

コメント返信補助機能設定にクロスサイトスクリプティング（XSS）脆弱性

コメント返信補助機能にて、悪意のあるユーザが特定の操作を行うことで、閲覧者のブラウザ上で任意のスクリプトが実行されてしまいます。結果として、閲覧者の個人情報漏洩やなりすましログインを許してしまう可能性があります。

影響を受けるシステム

コメント返信補助機能を有効にしている OpenPNE2.14

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「SNS設定」＞「SNS設定」にて「コメント返信補助機能設定」を「使用しない」設定にすることでこの脆弱性の影響を受けなくすることができます。

OpenPNE3 の複数箇所でクロスサイトリクエストフォージュリ(CSRF)脆弱性

OpenPNE3 の一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

全てのOpenPNE3

応急処置方法

応急処置方法はありません。早急なバージョンアップをお願いします。

opCommunityTopicPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opCommunityTopicPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opCommunityTopicPlugin 0.9 (OpenPNE3.2対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opCommunityTopicPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opOpenSocialPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opOpenSocialPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opOpenSocialPlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opOpenSocialPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opFavoritePluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opFavoritePluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opFavoritePlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opFavoritePlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

opIntroFriendPluginでクロスサイトリクエストフォージュリ(CSRF)脆弱性

opIntroFriendPluginの一部機能において、悪意のあるプログラムコードが含まれたページにアクセスすると、メンバーや管理者の意図しない操作が行われてしまう可能性があります。

影響を受けるシステム

opIntroFriendPlugin 0.8 (OpenPNE3.0対応) ～

応急処置方法

現時点でのマイナーバージョンアップまたはパッチの適用が困難な場合、SNS管理画面の「プラグイン設定」＞「アプリケーションプラグイン設定」にて「opIntroFriendPlugin」を無効にすることでこの脆弱性の影響を受けなくすることができます。

本問題への対応方法

これらの問題への対応方法は次の通りです。

OpenPNE2

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 2.8.11.1

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.10.13.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.12.20.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.14.7.2

[.tar.gz 版ダウンロード] [.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

■ 2010/08/11 18:28 追記
OpenPNE2 の全ての対応パッチについて、version.php が変更されない不備があったため、改めてパッチを作り直しました。
18:28 以前にパッチを適用された方は、お手数ですが手動で　webapp/version.php にあるOpenPNEのバージョンを変更してください。

マイナーバージョンアップ手順

以下、OpenPNEをそのまま設置したノンカスタマイズ状態のSNSのバージョンアップ手順となります。

1. config.php のバックアップをとります（ダウンロードなど）
2. マイナーバージョンアップする新しいOpenPNEをダウンロードし、現在設置されているSNSと同じ階層のディレクトリに解凍します
3. 1でバックアップをとったconfig.phpを 2 のディレクトリにコピーします
4. 新規設置の手順と同じように、varディレクトリのパーミッションを 777 に変更します
5. 古いOpenPNEのディレクトリの名前を変更し、新しいOpenPNEと置き換えます

例:
【旧】 mysns/
【新】 OpenPNE-2.14.7.1/
↓ディレクトリ名を変更
【旧】 old_mysns/
【新】 mysns/

以上でマイナーバージョンアップは完了です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリ（OPENPNE_DIR）にパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p0 < パッチファイル名

OpenPNE3

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 3.0.8.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.7.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.6.1

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.6beta2

[.zip 版ダウンロード] [修正パッチ]

OpenPNE3本体のマイナーバージョンアップを行うとバンドルされている全てのプラグインも更新されます。

■ 2010/08/11 19:33 追記
OpenPNE3 の全ての対応パッチについて、正しい差分になっていなかったためパッチを作り直しました。
19:33 以前にパッチを適用された方は、お手数ですが一度古いパッチで逆マージを行い変更を取り消した上で、新しいパッチの適用をお願いします。

マイナーバージョンアップ手順

パッケージに同梱されているバージョンアップ手順書をご覧ください。

• OpenPNE3.0.8.1
• OpenPNE3.2.7.1
• OpenPNE3.4.6.1
• OpenPNE3.6beta2

このドキュメントの手順はマイナーバージョンアップにも有効です。

パッチ適用手順

1. OpenPNEを設置しているディレクトリにパッチファイルをアップロードします
2. SSHでログインし、1 のディレクトリに移動します
3. 以下のコマンドを実行します

$ patch -p1 < パッチファイル名

4. 以下のコマンドを実行します

$ ./symfony openpne:migrate

OpenPNE3 プラグイン

OpenPNE3 本体のマイナーバージョンアップを行うとプラグインのバージョンアップも自動的に行われます。
そのため、バンドルされているプラグインを個別でバージョンアップする必要ありません。
今回対応されたプラグインについて、バンドルされていないバージョンを使用している場合は各プラグインのリリース情報を参考に更新を行ってください。

opIntroFriendPlugin

opIntroFriendPlugin-0.8.0.1

opIntroFriendPlugin-0.9.0.1

opFavoritePlugin

opFavoritePlugin-0.9.0.1

opFavoritePlugin-1.0.0.3

opOpenSocialPlugin

opOpenSocialPlugin-0.8.2.1

opOpenSocialPlugin-0.9.8.1

opOpenSocialPlugin-1.0.3.1

opOpenSocialPlugin-1.2.0.1

opCommunityTopicPlugin

opCommunityTopicPlugin-0.9.7.1

opCommunityTopicPlugin-1.0.0.2

OpenPNE 開発チームの今村です。

本日、安定版OpenPNE2.14.7.1 と 旧安定版2.12.20.1 を緊急リリースしました。

今回、携帯IP帯域の更新が最新のソースに含まれていないため、緊急リリースとなります。
既に携帯IP帯域リストを更新済みの方は問題ありませんのでご安心ください。

下記リンク先には各バージョンにあわせた携帯電話 IP アドレス帯域リストの情報が記載されています。
バージョンをお確かめの上、直接 /webapp/lib/ktaiIP.php に上書きすることでも同様の対応となります。

・携帯電話 IP アドレス帯域リスト

/pne-downloads/mobile_ip_list/

ダウンロード

ダウンロード

/pne-downloads/

安定版改定履歴

http://trac.openpne.jp/wiki/ChangeLog/

OpenPNE開発チームの今村です。
本日2010/8/4（水）、安定版 OpenPNE2.14.7 , 旧安定版 OpenPNE2.12.20 をリリースしました。
今回で旧安定版2.12.xはメンテナンス期間が終了になります。
OpenPNE2.14.xあるいはOpenPNE3.4.xへのバージョンアップをおすすめします。

今回のリリースは例外的に config.php.sample の変更が行われています。必ずconfig.php の変更を適用させてください。

バグ修正

2.14.7と2.12.20でのバグ修正は下記の3点です。

• ・IEで文字装飾の「プレビューモード」で、斜体設定が反映されない不具合の修正
• ・OpenPNE2 のPHP5.3 環境に対応
• ・メッセージ送信箱のアイコンのalt値の修正（2.14.7のみ対応）

ダウンロード

ダウンロード

/pne-downloads/

安定版改定履歴

http://trac.openpne.jp/wiki/ChangeLog/

今後のリリース予定について

次のリリースは下記を予定しています。

• ・2010/09/16（木）　OpenPNE2.14.8

安定版OpenPNE2.14も2010/11/18(木)にてメンテンス終了となりますのでよろしくお願いします。

OpenPNEプロジェクト参加者募集中！

OpenPNEプロジェクトでは参加者を募集しています！
現在OpenPNE3の開発が活発に行われていますが、3系、2系にかかわらず人材を募集しています。
OpenPNEの開発に興味がある場合、もっと詳しく知りたい場合はこちらまでご連絡ください。
pnetanにつぶやいてもいいですよ！

■ OpenPNE開発者メーリングリスト
http://groups.google.co.jp/group/openpne-dev
■pnetanのTwitter
http://twitter.com/pnetan

総セットアップサイト数は5628 http://openpne.jp
ついぴーねから