もぜひご覧ください。
Movable TypeおよびMovable Type Enterpriseにセキュリティホールが見つかり、それを修正したもの(Movable Type 3.36/4.01aなど)がリリースされています。
Movable Typeユーザーの皆様は、至急バージョンアップしてください。
Movable Typeは基本的にはページを静的に出力するシステムです。
ただ、コメントのプレビューなど、CGIを利用して動的にページを再構築している箇所が部分的にあります。
ブログをPHP化している場合、特定のCGIのURLにアクセスすると、PHPのコードがそのまま出力されることがあります(CGIの実行結果はそのままWebブラウザに送信され、PHPの処理を通らないため)。
そのため、PHP化したページの中に、パスワード等の重要な情報が含まれていると、PHPコードが見えてしまい、パスワード等を盗まれるなどの恐れがあります。
また、PHPだけでなく、テンプレートにASP(Active Server Pages)やJSP(Java Server Pages)のコードが含まれている場合も、同様の問題が発生します。
Movable Type 4.01aなどでは、この問題が修正されています。
なお、セキュリティホールの修正以外にも、いくつかの不具合修正が行われているようです。
ちなみに、Movable Type 4.01aとMovable Type 4.01を比較してみたところ、以下のファイルやフォルダが更新されていました。
- extlib/Dataディレクトリのいくつかのファイル
- lib/MT.pm
- lib/MT/App/Comments.pm
- mt-static/js/coomonディレクトリのいくつかのファイル
- mt-static/js/mt-core-compact.js
- php/mt.php
- mt-check.cgi
また、バージョンアップするとともに、「mt-view.cgi」を使っていなければ削除するようにします。
mt-view.cgiは、ブログの各テンプレートを動的に再構築するCGIで、上にあげたようなセキュリティホールが発生する恐れがあります。
通常の利用法ではmt-view.cgiは使用することはありませんので、削除しても問題ありません。
なお、拙作の「リアルタイム再構築プラグイン」を使うと、mt-view.cgiと同様のことを行うことができます。
このプラグインでは、許可したテンプレートのみリアルタイム再構築するようになっていますので、セキュリティホールを防ぎつつ、動的な再構築を行うこができます。
![Hardcore Will Never Die, But You Will [Disc 2]](http://userserve-ak.last.fm/serve/34s/71241534.jpg "Hardcore Will Never Die, But You Will [Disc 2]")
![Hardcore Will Never Die, But You Will [Bonus Tracks]](http://userserve-ak.last.fm/serve/34s/67192634.jpg "Hardcore Will Never Die, But You Will [Bonus Tracks]")
コメントする