Movable TypeにXSS(クロスサイトスクリプティング)による脆弱性が発見されました。

概要：
Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。

クロスサイトスクリプティング(XSS)と言われても、さっぱり……という方が、このブログの読者さんには多いかと思いますが、これは要するに、MTの管理画面や検索フォームやコメントフォームを利用して、任意のコードを送信することで、悪さができちゃいますよ、ということです。

もっと簡単に言ってしまえば、MTにセキュリティホールが発見されましたよ、ということですね。

というわけで、そのセキュリティホールを修正した新バージョン、3.33がリリースされました。

【重要】 Movable Type 新バージョンとパッチの提供について
↑こちらから、新バージョンMT3.33がダウンロードできます。

これは新バージョンにアップグレードせずに放置しておくと危険なので、できるだけ早急にアップグレードされることをお勧めします。

現在、MT3.32をご利用の方は、

• lib
• php
• plugins

の、3つのディレクトリ(フォルダ)だけを上書きすれば大丈夫かと思います。

MT3.32より古いバージョンの場合は、念のため全て上書きした方が良いと思います。

Movable Type 3.2-ja-2 以前のバージョンをお使いのお客様へ：
脆弱性回避のために、速やかにMovable Type 3.33へアップグレードしていただくよう、お願いいたします。Movable Type 3.33には、今回のセキュリティ脆弱性の修正以外にも、数多くの点で機能と信頼性が向上しています。
ただし、今回の問題の緊急性と重要性を考慮して、速やかにバージョンアップできない方を対象に、9/26　11:15よりバージョン3.2用のパッチをご提供する予定です。

ということで、MT3.2系のバージョンをご利用の場合で、時間がなくてすぐにMT3.33にアップグレードできない、という方は、上記リンク先で公開されている「Movable Type 3.2用パッチファイル」を適用することで、対処できます。

配布されているパッチファイルを、それぞれ「lib」「php」ディレクトリに上書きすればOKです。

MT3.1系以前の場合は、パッチファイルが公開されていないので、素直にMT3.33にアップグレードした方が良いでしょうね。

カテゴリー : Movable Type(MT/ムーバブルタイプ)
コメント (0) | トラックバック (0)

ただいま外出中なんですが、急遽時間が空いたので、今ネットカフェでブログ更新中です。

つい先ほどまで、Movable Typeの開発元であるシックス・アパート株式会社様と、弊社と同じProNetの会員企業である有限会社パワーラボ様主催の、ビジネス・ブログ・セミナーに参加していました。

シックス・アパートの関社長による、ビジネスブログの現在と将来の展望に関する話は、今後、僕自身がクライアント様に、ビジネスブログの活用法を提案する上で、非常に参考になりました。

また、企業向けのMTである、Movable Type Enterpriseの紹介も興味深かったですね。

現状では、まだ弊社のクライアント様では、Movable Type Enterpriseを利用するほどの規模の案件があま出てこないのですが、今後の参考になりました。

MTの事例紹介も、なかなか面白い取り組みが色々と紹介されて、良かったです。

特に、クリスタ長堀さんの事例や、相模鉄道さんの事例は興味深かったです。

関社長をはじめ、Six Apartの方や、同業のProNet会員企業の方等とも面識ができて、有意義なセミナーでした。

なお現在弊社では、定期的に「Movable Type 攻略講習会」と題して、MTのカスタマイズノウハウ等を提供するセミナーを主催しています。

カテゴリー : Blog/SNS/CMS | Movable Type(MT/ムーバブルタイプ) | セミナー・講演出没記
コメント (0) | トラックバック (1)

先日リリースされたMovable Type3.3に不具合が発生しているそうです。

Movable Type 3.3修正版リリースのお知らせ

不具合の詳細は上記記事に掲載されています。

実際に、これらの不具合に対処するためには、

• エントリー(記事)のタイトルに、大括弧[　]を使用しない
  または、 [ を [に、 ] を ] と記述する
• 月別や日別アーカイブ等、日付系アーカイブのテンプレート内の<MTEntries>タグに、属性をつける
• 名前に英語が含まれるテンプレートは、保存する際に勝手にテンプレート名が翻訳されていないか確認する。翻訳されていたら元の英語に戻して保存する

これでとりあえずは不具合を回避できるようです。
近々、MT3.31がリリースされるのでしょうね。

カテゴリー : Movable Type(MT/ムーバブルタイプ)
コメント (0) | トラックバック (0)

弊社がMovable Typeの開発元、シックス・アパート株式会社様のパートナー制度「ProNet」に登録されました。

※シックス・アパート プロフェッショナル・ネットワーク（ProNet）は、Movable Typeなどシックス・アパート製品を利用したシステムの導入や構築を手がけるシステム・インテグレーション企業やウェブサイト構築企業などに向けたパートナー制度です。

ちょうど数日前に、Movable Typeの新しいバージョン3.3が正式にリリースされたことですし、今後、さらにMovable Typeを活用したWebコンサル業務に力を入れて参りたいと思います。
よろしくお願いいたします。

カテゴリー : Movable Type(MT/ムーバブルタイプ)
コメント (0) | トラックバック (0)

Movable Type3.3β1の日本語マニュアルが公開されています。

ベータ1における既知の問題点として、ベータ版の不具合が挙げられています。

私自身が先日動作確認した際に、何故かMySQLが使えなかったのも、これが原因のようです。

私がテストした環境ではタグ検索が全く機能していなかったので、後でもう少し原因調査して、ある程度絞込みができたらフィードバックしようと思います。
※もうすでにどこかで報告されている気もしますが（＾＾；

カテゴリー : Movable Type(MT/ムーバブルタイプ)
コメント (0) | トラックバック (1)