もぜひご覧ください。
2005年12月19日 MySQL/PostgreSQL/SQLite全対応版を公開しました。こちらをお使いください。
先日ご紹介した「再構築を不要にするカスタマイズ」に、セキュリティホールがありました。大変申し訳ございませんでした。
修正版を作りましたので、このカスタマイズをお使いの方は、お手数ですが差し替えをお願いいたします。
セキュリティホールの内容は、以下のようなものです。
●条件
以下の条件を満たしている場合に、セキュリティホールが起こりえます。
・BlogをPHP化していいる
・テンプレート内のPHPのスクリプトに、パスワード等の人に見られては困る情報を入れている
●セキュリティホールの内容
mt-dynamic.phpの動作を真似てmt-dynamic.cgiを直接に呼び出すことで、PHPを実行する前のソースを表示することができ、PHPのスクリプト内のパスワード等が漏れます。
上記の条件に該当する方はほとんどいないと思いますが、念のために修正しておいていただけますようお願いします。
修正版の導入手順は以下の通りです。
●1.カスタマイズを行う
「再構築を不要にするカスタマイズ」のエントリーの通りの手順で、カスタマイズを行います。
なお、すでにカスタマイズ済みの方は、mt-dynamic.cgiとmt-dynamic.phpを差し替えるだけでOKです。
●2.「phptemp」ディレクトリを作成する
Blogの出力先ディレクトリの中に、「phptemp」というディレクトリを作り、そのパーミッションを707に設定します。
コメントはスレッド表示になっています。
また、スレッドの先頭のコメントに対する返信には、先頭に矢印を表示しています。
こんにちは。
セキュリティホール修正版を入れた後なのですが、MTArchiveTitleで日本語日付(yyyy年mm月dd日)を持ってこようとすると正常に表示されないようです。
※具体的には『2005年7月』が『2005』と表示される。
何かお気付きの点などあれば教えてください。宜しくお願いします。
>COLDさん
こんにちは。
こちらでもテストしてみましたが、MTArchiveTitleタグで、日本語の日付も問題なく表示されています。
申し訳ありませんが、原因はちょっと分からないです。
セキュリティホール修正版を(自分の中ではMT最強のhackと思って)利用しています。
自分はMTで二つのブログを作っています。それぞれURIは「/mt」と「/headline」になるのですが、「/headline」の方はダイナミック・パブリッシングにすると、下記のエラーになります。
Warning: main( ): failed to open stream: No such file or directory in /virtual/asiamoth/public_html/headline/mt-dynamic.php on line 14
「/mt」の方は、問題なく動作しています。
「phptemp」ディレクトリは念の為、「/mt」と「/headline」両方に、パーミッション707で作りました。
MTのCGIパスが「/mt」なので、その辺りの問題だと思いますが、解決策はありますか?
よろしければ、お願いします。
こんにちは。ご回答ありがとうございます。
調べてみたのですが、偶然厭らしいタイミングで発生しただけで本プラグインとは関係なさそうな気配です。
ご心配おかけしました。