Movable Type 3.33 リリース
Movable TypeにXSS(クロスサイトスクリプティング)による脆弱性が発見されました。
概要:
Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。
クロスサイトスクリプティング(XSS)と言われても、さっぱり……という方が、このブログの読者さんには多いかと思いますが、これは要するに、MTの管理画面や検索フォームやコメントフォームを利用して、任意のコードを送信することで、悪さができちゃいますよ、ということです。
もっと簡単に言ってしまえば、MTにセキュリティホールが発見されましたよ、ということですね。
というわけで、そのセキュリティホールを修正した新バージョン、3.33がリリースされました。
【重要】 Movable Type 新バージョンとパッチの提供について
↑こちらから、新バージョンMT3.33がダウンロードできます。
これは新バージョンにアップグレードせずに放置しておくと危険なので、できるだけ早急にアップグレードされることをお勧めします。
現在、MT3.32をご利用の方は、
- lib
- php
- plugins
の、3つのディレクトリ(フォルダ)だけを上書きすれば大丈夫かと思います。
MT3.32より古いバージョンの場合は、念のため全て上書きした方が良いと思います。
Movable Type 3.2-ja-2 以前のバージョンをお使いのお客様へ:
脆弱性回避のために、速やかにMovable Type 3.33へアップグレードしていただくよう、お願いいたします。Movable Type 3.33には、今回のセキュリティ脆弱性の修正以外にも、数多くの点で機能と信頼性が向上しています。
ただし、今回の問題の緊急性と重要性を考慮して、速やかにバージョンアップできない方を対象に、9/26 11:15よりバージョン3.2用のパッチをご提供する予定です。
ということで、MT3.2系のバージョンをご利用の場合で、時間がなくてすぐにMT3.33にアップグレードできない、という方は、上記リンク先で公開されている「Movable Type 3.2用パッチファイル」を適用することで、対処できます。
配布されているパッチファイルを、それぞれ「lib」「php」ディレクトリに上書きすればOKです。
MT3.1系以前の場合は、パッチファイルが公開されていないので、素直にMT3.33にアップグレードした方が良いでしょうね。
カテゴリー :
Movable Type(MT/ムーバブルタイプ)
前のエントリー: 新種のウィルスに注意!?
次のエントリー: 善意や信憑性だけでは判断できません
トラックバック
http://goodhope.jp/ctrl/mt-tb.cgi/118