Movable Type News

[重要] Movable Type セキュリティアップデートとパッチの提供について

Movable Type ユーザーのみなさま

本日より、以下のセキュリティアップデートの提供を開始します。

また、以下の製品に対するパッチの提供を開始します。

このリリースで、最近発見され、報告されたセキュリティにかかわる不具合を修正します。

具体的には、ブログ記事 (個別エントリーアーカイブ) テンプレートの内容に、PHP などで処理される前提のコードの記述がある場合、特定の URL でアクセスすると、スクリプトが処理されずそのまま表示されるというものです。

Movable Type 4 をお使いの場合

Movable Type 4.01a へのアップグレードをお願いいたします。最新版の 4.01a は以下より入手願います。アップグレードについてはドキュメントを参照ください。

4.01a へのアップグレード後、利用していない場合は、mt-view.cgi を削除してください。mt-view.cgi の削除に関する詳細は、mt-view.cgi を削除の節を参照ください。

Movable Type 3.3 をお使いの場合

Movable Type 3.36 へのアップグレードをお願いいたします。最新版の 3.36 は以下より入手願います。アップグレードについてはドキュメントを参照ください。

3.36 へのアップグレード後、利用していない場合は、mt-view.cgi を削除してください。mt-view.cgi の削除に関する詳細は、mt-view.cgi を削除の節を参照ください。

Movable Type Enterprise 4 をお使いの場合

4.01a + Enterprise Pack 1.0 へのアップグレードをお願いいたします。最新版の 4.01a + Enterprise Pack 1.0 は以下より入手願います。アップグレードについてはドキュメントを参照ください。

4.01a + Enterprise Pack 1.0 へのアップグレード後、利用していない場合は、mt-view.cgi を削除してください。mt-view.cgi の削除に関する詳細は、mt-view.cgi を削除の節を参照ください。

Movable Type Enterprise 1.5 をお使いの場合

1.54 へのアップグレードをお願いいたします。最新版の 1.54 は以下より入手願います。アップグレードについては、ドキュメントを参照ください。

1.54 へのアップグレード後、利用していない場合は、mt-view.cgi を削除してください。mt-view.cgi の削除に関する詳細は、mt-view.cgi を削除の節を参照ください。

Movable Type 3.2x をお使いの場合

Movable Type 3.2 をお使いで 3.21 となるパッチを適用していない場合は、まず、パッチを適用してください。

パッチの適用後、または 3.21 をお使いの場合は、以下のパッチを適用ください。

パッチの適用方法

パッチの内容は以下のとおりです。パッチの適用は以下の1件のファイルを新しいファイルに置き換えます。

MT_DIR
 ├─ lib
      ├─ MT
           ├─ App
                ├─ Comments.pm

パッチの適用後、利用していない場合は、mt-view.cgi を削除してください。mt-view.cgi の削除に関する詳細は、mt-view.cgi を削除の節を参照ください。

mt-view.cgi の削除

mt-view.cgi を利用していないユーザーは、このファイルを削除してください。mt-view.cgi を利用したダイナミックパブリッシングはドキュメントされていない機能であり、意図的に、手動で利用する設定をしない限りは利用されません。心当たりがなければファイルを削除しても問題ありません。

mt-view.cgi を実際に利用している場合は、Movable Type 標準の、PHP を利用するダイナミックパブリッシングを利用することを検討してください。