緊急重要 MTの脆弱性への対処をしよう。
ロリポップサーバーや千のWEB工房の田中さんからもメールをいただきました。
【重要】 Movable Type 新バージョンとパッチの提供について
http://www.sixapart.jp/movabletype/news/2006/09/26-1115.html
(引用ここから)
Movable Typeユーザーの皆様
Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆
弱性が確認されました。対策を施した新バージョンをリリースいたします。
概要:
Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトス
クリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社
にて確認いたしました。
影響のあるバージョン:
現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの
脆弱性があることを確認しております。一部の脆弱性については、それ以前
のバージョンにも含まれる可能性があります。
対処方法:
9/26 11:15より、対策を施したMovable Typeの新バージョン(Movable Typ
e 3.33)をリリースいたします。すみやかにバージョンアップをお願い致し
ます。
なお、Movable Type Enterpriseの新バージョン(1.03)は明日提供の予定
です。(提供開始しました。本文末尾をご覧ください)
(省略)
Movable Type 3.2-ja-2 以前のバージョンをお使いのお客様へ:
脆弱性回避のために、速やかにMovable Type 3.33へアップグレードしてい
ただくよう、お願いいたします。Movable Type 3.33には、今回のセキュリ
ティ脆弱性の修正以外にも、数多くの点で機能と信頼性が向上しています。
ただし、今回の問題の緊急性と重要性を考慮して、速やかにバージョンアッ
プできない方を対象に、9/26 11:15よりバージョン3.2用のパッチをご提供
する予定です。
(引用ここまで)
MT3.2の場合、MT3.33にバージョンアップするようにとの内容に
なっていますが、パッチファイルもありますので、とりあえず、パッチファ
イルでの対応をしましょう。
Movable Type 3.2用パッチファイルの入手場所
http://www.sixapart.jp/movabletype/news/MT3.21-ja-patch.zip
こちらでダウンロードしたファイルの分だけを、FFFTPを利用してファ
イルを上書きしましょう。
下記の6つの●のファイルを上書きしてください。
MT_DIR
├─libフォルダ
│ ●MT.pmファイル
│ └─MTフォルダ
│ │ ●App.pmファイル
│ │ ●Sanitize.pmファイル
│ └─Appフォルダ
│ ●CMS.pmファイル
└─phpフォルダ
●mt.phpファイル
└─libフォルダ
●sanitize_lib.phpファイル
対処しておきましょう。
パッチを適用すると、バージョン表記が3.21-jaとなります。
