Movable Type 6.0.6、5.2.11 で確認されたセキュリティ問題の修正版として、Movable Type 6.0.7 ならびに 5.2.12 の提供を開始します。なお、Movable Type 6.1 にはすでに修正が含まれています。
セキュリティアップデートの概要
Movable Type 6.0.6、5.2.11 を含む以前のバージョンにおいて、Storable Perl モジュールの脆弱性に起因する LFI(ローカルファイルインクルージョン)攻撃が発生する可能性があります。修正版へのアップグレードを強く推奨します。
想定される影響
遠隔の第三者により、当該製品で管理している情報を閲覧されたり、変更されたりする可能性があります。
影響を受けるバージョン
以下の各製品の、6.0.6、5.2.11 を含む以前のバージョン
- Movable Type 6.x (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 6.x
- Movable Type 5.x (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 5.x
- Movable Type Open Source 5.x
提供を開始するバージョン
対象となるバージョンをお使いの場合は、以下の修正済みのバージョンのいずれかにアップグレードしてください。
- Movable Type 6.0.7 (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 6.0.7
- Movable Type 5.2.12 (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 5.2.12
- Movable Type Open Source 5.2.12
- Movable Type ライセンスをお持ちの方(個人無償ライセンス、開発者ライセンスを含みます)
- クラウド版をご利用の方
2月10日のメンテナンスで Movable Type 6.1 に自動アップデートされています。
- Movable Type for AWS をご利用の方
Movable Type for AWS バージョン 6.0.4 以降を AWS Marketplace から新しくインスタンス化している場合は、yum コマンドを利用したアップデートが利用可能です。
アップデートの詳しい手順については、以下のページをご覧ください。Movable Type for AWS バージョン 6.0.3 以前のバージョンをご利用の場合、あるいは Movable Type for AWS バージョン 6.0.4 以降を AWS Marketplace からインスタンス化していない場合は、Movable Type for AWS バージョン 6.0.5-1 のインスタンスを新たに起動し、/app と /data 以下のユーザーデータを移行することをお勧めします。
アップデートの詳しい手順については、以下のページをご覧ください。AWS Marketplace で提供中のパッケージは、現在申請を行っております。近日中に更新されます。
- MTOS(オープンソース版)のダウンロード
以下のページよりダウンロード可能です。
アップグレード手順
パッケージをダウンロードしたら、以下のページを参考に、アップグレード作業をおこなってください。
アップグレード後に必要な作業
本リリースでは、アップグレードに必要な作業はございません。
Movable Type 6.1 / 6.0.7 / 5.2.12 の修正内容
Movable Type 6.1 / 6.0.7 / 5.2.12 の変更点や不具合修正の内容は、以下のページをご覧ください。
以上です。