Movable Type News

記事一覧 RSS

2006年 9月26日(火)

【重要】 Movable Type 新バージョンとパッチの提供について

Movable Typeユーザーの皆様

Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。

概要:
Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。

影響のあるバージョン:
現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。

対処方法:
9/26 11:15より、対策を施したMovable Typeの新バージョン(Movable Type 3.33)をリリースいたします。すみやかにバージョンアップをお願い致します。
なお、Movable Type Enterpriseの新バージョン(1.03)は明日提供の予定です。(提供開始しました。本文末尾をご覧ください)

Movable Type 3.33の入手場所

Movable Type バージョン3.32(Movable Type Enterprise 1.02)と、バージョン3.33(Movable Type Enterprise 1.03)は、以下の9ファイルの変更を除いて同一です。
バージョンアップの方法は以下をご覧ください。(Linux等 / Windows環境

MT_DIR(カッコ内はファイルのリビジョン番号)
├─lib
│  MT.pm (584)
│  └─MT
│      │  App.pm (689)
│      │  Log.pm (696)
│      │  Sanitize.pm (691)
│      └─App
│              CMS.pm (690)
│              Search.pm (684)
├─php
│  mt.php (N/A)
│  └─lib
│          sanitize_lib.php (N/A)
└─plugins
    └─nofollow
            nofollow.pl (684)

Movable Type 3.2-ja-2 以前のバージョンをお使いのお客様へ:
脆弱性回避のために、速やかにMovable Type 3.33へアップグレードしていただくよう、お願いいたします。Movable Type 3.33には、今回のセキュリティ脆弱性の修正以外にも、数多くの点で機能と信頼性が向上しています。
ただし、今回の問題の緊急性と重要性を考慮して、速やかにバージョンアップできない方を対象に、9/26 11:15よりバージョン3.2用のパッチをご提供する予定です。

Movable Type 3.2用パッチファイルの入手場所

パッチの内容は以下のとおりです。パッチを適用するには、以下の6ファイルを、新しいバージョン(パッチに含まれているファイル)のファイルに置き換えてください。なお、ディレクトリの位置を間違えないようにご注意ください。

MT_DIR
├─lib
│  MT.pm
│  └─MT
│      │  App.pm
│      │  Sanitize.pm
│      └─App
│              CMS.pm
└─php
  mt.php
    └─lib
            sanitize_lib.php

パッチを適用すると、バージョン表記が3.21-jaとなります。

[17:00追記]
今回の脆弱性への対策を施した Movable Type Enterprise 1.03 をリリースしました。 お手数ですが、ユーザーサイトにログインしてダウンロードをお願いいたします。

Six Apart   11:15

Movable Type ソフトウェア版は無料トライアルが可能です。
ライセンスの購入、クラウド版の申し込みは、製品購入からお進みください。

ドキュメントやユーザー向けの情報はこちら

Movable Type のくわしい使い方や、タグリファレンス、開発者向けのドキュメントなどは、MovableType.jp で公開しています。プラグインやテーマは、プラグインディレクトリをご覧ください。