Movable Type 5 Publishing Platform

Movable Type News

2006年09月26日

【重要】 Movable Type 新バージョンとパッチの提供について

Movable Typeユーザーの皆様

Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。

概要:
Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。

影響のあるバージョン:
現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。

対処方法:
9/26 11:15より、対策を施したMovable Typeの新バージョン(Movable Type 3.33)をリリースいたします。すみやかにバージョンアップをお願い致します。
なお、Movable Type Enterpriseの新バージョン(1.03)は明日提供の予定です。(提供開始しました。本文末尾をご覧ください)

Movable Type 3.33の入手場所

Movable Type バージョン3.32(Movable Type Enterprise 1.02)と、バージョン3.33(Movable Type Enterprise 1.03)は、以下の9ファイルの変更を除いて同一です。
バージョンアップの方法は以下をご覧ください。(Linux等 / Windows環境

MT_DIR(カッコ内はファイルのリビジョン番号)
├─lib
│  MT.pm (584)
│  └─MT
│      │  App.pm (689)
│      │  Log.pm (696)
│      │  Sanitize.pm (691)
│      └─App
│              CMS.pm (690)
│              Search.pm (684)
├─php
│  mt.php (N/A)
│  └─lib
│          sanitize_lib.php (N/A)
└─plugins
    └─nofollow
            nofollow.pl (684)

Movable Type 3.2-ja-2 以前のバージョンをお使いのお客様へ:
脆弱性回避のために、速やかにMovable Type 3.33へアップグレードしていただくよう、お願いいたします。Movable Type 3.33には、今回のセキュリティ脆弱性の修正以外にも、数多くの点で機能と信頼性が向上しています。
ただし、今回の問題の緊急性と重要性を考慮して、速やかにバージョンアップできない方を対象に、9/26 11:15よりバージョン3.2用のパッチをご提供する予定です。

Movable Type 3.2用パッチファイルの入手場所

パッチの内容は以下のとおりです。パッチを適用するには、以下の6ファイルを、新しいバージョン(パッチに含まれているファイル)のファイルに置き換えてください。なお、ディレクトリの位置を間違えないようにご注意ください。

MT_DIR
├─lib
│  MT.pm
│  └─MT
│      │  App.pm
│      │  Sanitize.pm
│      └─App
│              CMS.pm
└─php
  mt.php
    └─lib
            sanitize_lib.php

パッチを適用すると、バージョン表記が3.21-jaとなります。

[17:00追記]
今回の脆弱性への対策を施した Movable Type Enterprise 1.03 をリリースしました。 お手数ですが、ユーザーサイトにログインしてダウンロードをお願いいたします。

  • 投稿者 Six Apart
  • 11:15

トラックバック

トラックバック URL
»cozy.blogにてMovable Type 3.33の提供を開始 from cozy.blog

本日よりcozy.blogをお申し込みの方につきましては、 新バージョンMovable Type 3.33をプレインストールした状態でご提供致します。

»MT3.33のリリース from Kazuの挑戦日記

MTにクロスサイトスクリプティングによる膀弱性発覚! ということで、新バージョンのMT3.33がリリースらしいです。 早めにバージョンアップしたほうが無...

»Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認された from Jay's Room

Movable Typeのプログラムで、 クロスサイトスクリプティングによる脆弱...

»緊急対処!MTにクロスサイトスクリプティングの脆弱性 from ブログアフィリエイト徹底ガイド マイバブルタイプ

これは至急対策をした方がいいですよ。...

»Movable Typeに脆弱性、Movable Type 3.33をリリース from 小心者の杖日記

 Six Apartから「Movable Type News: 【重要】 Mov...

»MovableTypeバージョンアップした from Garage -dabun-

MovableTypeに脆弱性の問題が発見。ってなことでみなさん3.33にバージョンアップしなはれや。

»リリース情報(Movable Type 3.33) from Kyan's BLOG III

Six Apart - Movable Type News: 【重要】 Movable Type 新バージョンとパッチの提供について セキュリティフィック...

»Movable Type、クロスサイトスクリプティングに脆弱性が発見! from 腐女子のMovableTypeカスタマイズ感想文

Movable Typeユーザーの皆様 Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を...

»Movable Type 3.33 リリース from gami & perako

Six Apart - Movable Type News より 【重要】 Movable Type 新バージョンとパッチの提供について Movable ...

»Movable Type、新バージョンとパッチの提供 from ニュース - 海老名&生活情報マガジン"ebinavi plus"

Movable Type、ヒ・ッ・?ケ・オ・、・ネ・ケ・ッ・?ラ・ニ・」・?ー、ヒ、隍?ネシ蠡ュ、ャウホヌァ、オ、?ソフマヘヘ、ヌ、ケ。」 アニカチ、...

»Movable Type 3.33 (XSS対応) from tkoshima.net

クロスサイトスクリプティングの脆弱性があったようです。Movable Typeと...

»Movable Type 3.33だって!!!!??? from WakiWaki.net『ちょっとMacなWeblog.』

mtの管理画面の「Movable Typeニュース」にはまだ...

»「Movable Type」にセキュリティ・ホール from YUU MEDIA TOWN@Blog

★ブログ・システム「Movable Type」にセキュリティ・ホール(ITPro) ★Movable Typeにクロスサイトスクリプティングの脆弱性(IT...

»Movable Type 3.33 日本語版 from たねちゃんズ12

またKazuさんトコで「Movable Type 3.33出た」ってなってるから...

»Movable Typeに脆弱性確認!Movable Type 3.33にバージョンアップ from BSDあれこれ

Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆...

»【緊急】MovableTypeにクロスサイトスクリプティングの脆弱性 from 何て事は無い

Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆...

»Movable Typeにセキュリティ問題「名前が覚えられない」 from bogusnews

資料写真: 「Removable Typeでつくる!最強のブログサイト」 → amazonで詳細情報を確認 Six Apart社が提供す...

»MT3.33-jaリリース from CoffeeTime

【重要】 Movable Type 新バージョンとパッチの提供について Mova...

»Movable Type3.2に脆弱性 from Pleasure Seeker

Six Apart - Movable Type News: 【重要】 Mova...

»Movable Type 3.33にバージョンアップ from 子供と英語とeBayと。

MTを導入して1ヶ月も経たないうちに 「クロスサイトスクリプティングによる脆弱性...

»to Movable Type 3.33-ja from SCREAMO

「クロスサイトスクリプティングの脆弱性が確認されました。」と、Movable Typeの開発元のSix Apart(シックス・アパート)の発表があった。「...

»たまには素早く。 from 風車の轍

「Movable Type 3.33-ja」にアップグレードしました。

»Movable Type 3.33 from Left hand::blog

Six Apart から新バージョンの通知が来ていたのだけれど、機能面の向上では...

»【重要】MovableType3.33 リリース from magnet :..

MovableTypeにてクロスサイトスクリプティングによる脆弱性が確認されたた...

»Movable Type に脆弱性あり 急ピッチでパッチ対応 from クリエイター日記

M3 creator も利用しているシックス・アパート株式会社(SixApart...

»【重要】MovableType3.33-ja:セキュリティパッチ公開 from 袖ふれあうも

Six Apart - Movable Type News: 【重要】 Mov...

»MT3.33-jaへアップデート from BITMAP

先日、MT3.32-jaへアップデートしたばかりなんだが、本日MT3.33-ja...

»Movable Type3.33へバージョンアップ from 【H&Y ROOM|hiro's blog】

Movable Typeの3.32以前のバージョンにセキュリティホールが見つかっ...

»Movable Typeをバージョンアップしました。 from 金魚ブログ

Movable Typeをバージョンアップしました。

»Movable Type各バージョンでXSSの脆弱性 from Movable Type

セキュリティに関わる脆弱性が発見されたとのこと。基本は MT3.3 にアップグレードしてください、ということですが、3.2 を継続使用しているユーザー向け...

»Movable Type 3.33にバージョンアップ from ユカ式タンジェント。

脆弱性が見つかっちゃー、変えなくちゃって気分になりますな。 MT使用箇所は本家トップの更新情報とそのRSSの2箇所なので、MTがバージョンアップして...

»せっかくアップグレードしたというのに... from ぼやぼやしてると後ろからバッサリだ!

【重要】 Movable Type 新バージョンとパッチの提供について Mova...

»Movable Typeでクロスサイトスクリプティングによる脆弱性が確認 from アフィリエイトブログ

Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆...

»Movable Type 3.33へのバージョンアップ from アフィリエイト テクニックス

Movable Type 3.33へのバージョンアップの方法です。 まずは、M...

»Movable Type 3.31→3.33 へバージョンアップ from MEMORY OCEAN ACT1

Movable Type のバージョンアップを行いました。旧バージョンではクロスサイトスクリプティング(XSS)に対する脆弱性(ぜいじゃくせい)があったそ...

»Movable Typeアップグレード。 from ―Snownotes,Blog

MT3.32からMT3.33にアップグレード。 脆弱性の解消だったらしくルーチンワーク。...

»MTに「クロスサイトスクリプティングによる脆弱性の問題」あり!3.33にバージョンアップを from アフィリエイト・ライフ

今メールが届いてた。 どうやら「Movable Type」に『クロスサイトスクリプティングによる脆弱性』が確認されたよう。 3.33にバージョンア...

»Movable Type 3.33 from stone::tamaki

 Movable Type のバージョンアップが楽しみだったのは今や昔。今はもう...

»MTのアップデート from 花染人和クリエイション::MACなDTPと開発::トラブル記録

MT3.32ja -> MT3.33ja クロスサイトスクリプティングによる脆弱...

»セキュリティホール対応のMT3.3 from クリュサオル@黄金の剣を持つ者

いつの間にかMovableTypeがバージョンアップされてました。 Six Ap...

»MovableType3.3へのアップグレード from ☆彡 なみぶたぁのだんなのブログ ☆彡

このブログはロリポップというレンタルサーバにMovableTypeというブログ用ソフトを導入して構築しています。 そのロリポップから昨日脆弱性の連絡が来ま...

»MovableType3.3へのアップグレード from ☆彡 なみぶたぁのだんなのブログ ☆彡

このブログはロリポップというレンタルサーバにMovableTypeというブログ用ソフトを導入して構築しています。 そのロリポップから昨日脆弱性の連絡が来ま...

»Movable Typeにクロスサイトスクリプティングによる脆弱性 from ネットベンチャー@群馬 ライフコーポレーション社長 田村章彦のブログ

Movable Typeにクロスサイトスクリプティングによる脆弱性が報告されています。 【重要】 Movable Type 新バージョンとパッチの提供につ...

»Movable Type 3.33-jaへアップグレードしました。 from ワークス花

ワークス花のMovableTypeをアップグレードしました。 Movable T...

»Movable Type 3.33 リリース from gami & perako

Six Apart - Movable Type News より 【重要】 Movable Type 新バージョンとパッチの提供について Movable ...

»Movable Type 新バージョンとパッチの提供 from 中老SEのWeb奮戦記

Movable Type および Movable Type Enterprise...

»今日の研究:MT3.2x以前を利用の方要注意! from 世界中の1%の人々へ

Movable Typeのプログラムにおいてによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。 というお知らせがシックスアパー...

»Movable Type 3.33 from INOLOG Ver.2

この前アップデートしたばかりなのに、またでました・・・ 今度のはセキュリティーバグフィックスなので様子を見るわけにも行きません・・・ 何でも Movabl...

»Movable Typeに脆弱性発覚 from CODE-0

Movable Typeに脆弱性があったそうで、バージョン3.33へのアップグレ...

»MovableType 3.33-ja from 何にもないぶろぐ

へ速やかにバージョンアップせよ、とのことで実施しました。

»パッチ当てたらMovableType 3.21 from ぼくのミステリな備忘ログ

このブログのシステムは、MovableTypeというヤツを使っているのです。 こ...

»クロスサイトスクリプティングの脆弱性 from kenz Weblog

Movable Typeにクロスサイトスクリプティングの脆弱性が見つかったとのこ...

»[MT3.33-ja]ブログバージョンアップのお知らせ from 腐女子の漫画・小説・アニメのオタク感想文::赤

ブログのバージョンアップを行いました。 見た目は変わっておりませんが、今回の修正版で結構変更になっているところがあるようです。 先日、脆弱性が発見されたと...

»[MT3.33-ja]ブログバージョンアップのお知らせ from 腐女子の漫画・小説・アニメのオタク感想文::青

ブログのバージョンアップを行いました。 見た目は変わっておりませんが、今回の修正版で結構変更になっているところがあるようです。 先日、脆弱性が発見されたと...

»MT3.33へアップグレード from 成功.info blog

何かの脆弱性が見つかったとかで、早急にアップグレードをしなくてはならないらしいが、これは私にとってなるべくなら延期したい事案だった。 が、放っておくと危...

»MT 3.33-ja from asoslife

 Six Apart - Movable Type News: 【重要】 Movable Type 新バージョンとパッチの提供について Movable T...

»クロスサイトスクリプティングによる脆弱性 from Sunflower

1日1回から3日に1回、1週間、10日とメールチェックの回数が減っていく中、有料...

»MT3.33にアップグレード from krbys.net

MT3.32にセキュリティの脆弱性(クロスサイトスクリプティングによる脆弱性)が...

»Movable Typeで脆弱性が見つかる from おじさんの備忘録

9月26日にSix ApartからMovable Typeの脆弱性が報告されると同時にその対応版であるMovable Type 3.33がリリースされてい...

»Movable Type 3.33にアップグレード from ちょほいとまちなは

先日、遅まきながらMT3.32にアップグレードしたばかりでしたが、すぐにバージョンアップがリリースされました。CHEEBOWさんによると、MT3.32から...

»もう、mt3.33なんですか。 from : : useful days* ? : :

あれ、この前バージョンあげたばかりなのに、昨日ロリポップからmtの不具合について...

»MT3.3 from still shines

クロスサイトスクリプティングによる脆弱性が確認されたので、MTのバージョンアップ...

»MT-3.33-jaが出ましたって・・・ from How To? MyPC?and..Diary

バージョンアップに次ぐ、またバージョンアップ。今回は脆弱性があったって。Mova...

»システムをMT3.33-jaに更新した際の注意点 from [a] : airoplane.net ( エアロプレイン ドット ネット )

エントリーアーカイブのファイル名をエントリID(つまり通し番号)で管理している際...

»MovableType3.1x系にMT3.21用脆弱性パッチを適用する from Open MagicVox.net

 先日,Six Apartから Movable Type 新バージョンとパッチの提供について, XSS 脆弱性に関する 重要な告知 がありました。 これを...

»セキュリティを軽く考えてもらっちゃ困るな。 from 世界中の1%の人々へ

IT業界も本当にピンキリだ。 マイミクぴろり氏が、MT3.1系のセキュリティパッチを配布している。 MovableType3.1x系にMT3.21用脆弱...

»MovableType 3.32→3.33にアップデート from C#.NETでいく?

クロスサイトスクリプティングによる脆弱性の対応版にアップデートした。 詳細 : ...

»Rapidsite【全般】MovableType3.2の脆弱性対策パッチの設定 from 双報のいろいろ

>2006年9月26日に、MobableType公式サイトよりMobabl...

»Movable Type 3.33日本語版にアップグレード済み from Wing World

ブログを手抜きしてたとはいえ、脆弱性の対策ということで9/26に、Movable...

»Movable Type 3.2に脆弱性 from amplitude

Movable Type 3.31 → 3.33にアップデート

»MovableType 3.33公開 from Hi-LoのBlog

MovableType 3.2以降にXSSの脆弱性が見つかったらしい. 【重要】 Movable Type 新バージョンとパッチの提供について http...

»MT-3_2-ja-2からMT-3.33-jaへのバージョンアップ from 小さな会社の社長日記

このブログでも使っているブログソフトMovable Typeにクロスサイトスクリ...

»今度こそエントリ投稿遅延問題の解決? from [a] : airoplane.net ( エアロプレイン ドット ネット )

前エントリから延々と報告していた新規エントリ投稿時に異常な時間がかかる問題が、つ...

»ムーバブルタイプ(MT)の脆弱性の発見と危険性 from 簡単!ブログアフィリエイトで稼ぐ方法

少し以前にムーバブルタイプ(MT)において脆弱性が発見されました。MTを以前のままからバージョンアップをしていない人は危険にさらされています。では脆弱性と...

»Movable Typeのバージョンアップをしなきゃです!(3.xx→3.33へ) from アフィリエイト・エクスプレス − 超初心者がアフィリエイト副業でお小遣い副収入を目指し続ける日記

本業やら更新やらに追われて、なかなか作業が進展してないMovable Typeですが、 今日、管理画面にアクセスしたら、右サイドバーに、 【重...

»Movable Typeを3.33にアップグレード from MSM-03C

Movable Typeの新バージョンが出たのでアップグレードしました。Six ...

»MT3.33にアップグレード from LifeStyle

またまたMovableTypeのアップグレードです。 今回はMT3.31からなのでそんなに難しくないだろう。 と思って念のためバックアップを取ってから、ダ...

»MovableType 3.33 にバージョンアップ from 365days

XOOPSとNucleusのカスタマイズに必死になっている間に3.31⇒3.32...

»Movable Type 3.33-jaへバージョンアップ from Notizbuch

まだまだ何もしていない内に、MovableTypeのバージョンがどんどん上がって...

»3.33 melancholy from 3.33 melancholy by ESCAPE WHILE YOU CAN

MTの脆弱性が発見されバッチを当てないと行けないんだけど 色々カスタマイズしたエントリー周りの事を思うと憂鬱になってしまう ただでさえ寝不足なのに!!!!...

»MovableType3.33へのアップグレード from watermelon.nm.land.to

日本に帰ってまいりましたので早速アップグレードしようとおもってダウンロードしたと...

»MovableType 3.33ja from らくがき

MovableTypeの管理画面、コメント機能、検索機能にクロスサイトスクリプティング(ウェブページの動的生成に関する脆弱性で、多くは、ブラウザ上にある入...

»Movable Type 3.33 from Tomy's Weblog Annex

Movable Typeが3.33にアップデートされた。そういえば3.32になっ...

»MTにCSSの脆弱性 from Y's Web SPACE

Six Apart - Movable Type News: 【重要】 Mova...

»MT 3.33jaにアップグレード from 乗りログ

 自分がバージョンアップしたいからしただけなの! 別にSix Apartに脆弱性が確認されたからアッ...

»MT3.2→3.3書き換えでエラー&なぜか復旧 from Factory 70 BLOG

>Got an error: Can't locate object ...

»バージョンアップMT3.33! from 健康フェチコ・サムネイル

また、movable_typeがバージョンアップしたみたいです。 使いこなせない...

»Movable Typeのアップグレード from 雑記

古いMovable Typeにクロスサイトスクリプティングの脆弱性があるというこ...

» 3.33"">え?なんか勝手にアップデートされたで?Movable Type 3.32 -> 3.33 from いぢろーぐ

さっき、ログインをするといきなり 「Movable Typeのアップグレードが終了しました。  次にデータベースのアップグレードを行います。」 と。思わず...

»Movable Type 3.2-ja-2 以前の脆弱性の修正 from 音楽探偵JohnnyジョニーのBlogブログ

これは避けては通れないらしい。だいたいMT3.17の導入もえらい面倒だったのだが これから思い切ってバージョンアップを行うつもりだが、 閲覧できない状...

»Movable Type3.32⇒3.33へのバージョンアップ方法 from Cloudberry Jam Fan Site Blog

クロスサイトスクリプティングによる脆弱性が確認されたMovable Typeを3...

»アップグレード from Think Different.

Movable Type に XSS の脆弱性が発見されたそうで、ちょっとおっく...

»トラックバック消滅 from 永井俊哉ドットコム総記編

トラックバックができないという不具合が生じたので、Movable Type 3....

»MT 3.33のバグ?? from Scene side B

今更ですが。 コメント時にURLが記入されていると個別ページで投稿者の名前が表示...

»MovablTypeバージョンアップ from Active Diary

MovableTypeのバージョンアップをした。3.32から3.33へ。変更されたファイル9つを差し替えただけ。簡単に終了した。明日、もう一つのblogの...

»MT導入記録 2006年09月26日 from うろうろ...

XSS脆弱性が発見されたとのことで、MT3.33がリリースされてました。 ロリポップからも「アップデートしておくれ」てきてたし、ファイル9つ差し替えだけ...

»MT3.33にアップデートを試みる。 from カゾクスタイル

試みたというか、おもいきってやったんですが…。 Movable Type 新バー...

»Movable Type 3.33にバージョンアップ from syn

ついこの間、Movable Type 3.32-ja にバージョンアップしたと思ったら、

»MovableTypeを3.33にアップデート from kashinya blog

SixApartのMovableType(ムーバブルタイプ)を3.33にアップデ...

»Movable Type 3.33 への(すみやかではない)バージョンアップ from Hondarer-soft blog

一月前に、新バージョンへのアップグレードを促すアナウンスが出ていたものの、やっと...

»MT 3.2-ja-2 ⇒ MT 3.21-ja from mini-max eXtreme

『いずれはMT3.3にバージョンアップするぞ~』と意気込んでいた(http://...

»MovableType 3.32にクロスサイトスクリプティングの脆弱性が! from Shoulder.jp

Movable Type 新バージョンとパッチの提供について Movable T...

»MovableType 3.32にクロスサイトスクリプティングの脆弱性が! from Shoulder.jp

Movable Type 新バージョンとパッチの提供について Movable T...

»Movable Type 3.33-jaにアップグレード from ロココなココロ。

実に1年近くぶりに、Movable Typeをアップグレードしてみた。 ディレク...

»3.33"">MovableTypeのアップグレード3.31->3.33 from Yuusuke Weblog

9/26 11:15より、対策を施したMovable Typeの新バージョン(Movable Typ...

»MT3.33へUpdate! from Hitorigoto?

先の記事にて「まだまだ3.17で・・・」とか言ってたんですが、舌の根も乾かぬうちにupdateしちゃいました。。(^^;...

»[MT] ver3.33に移行 from アキラ's ITメモ

ずいぶん前なんですが、Movable Typeを3.33に移行したので、その時の...

»MT3.33へバージョンアップでデータベース設定 from 初心者のためのヤフオク

MT3.33へバージ...

»発起設立と募集設立について,注意すべき点は? from 新会社法de会社設立

 (1 ) 株式会社の設立は,会社法25条1項により二つの方法が定められており,...

»Movable Typeにクロスサイトスクリプティングの脆弱性 from My First Blog

Movable Typeにクロスサイトスクリプティングの脆弱性が存在することが...

このページのトップへ