「WordPressで学ぶPHP(4)通信編」を発売しました。
本書は、「WordPressで学ぶPHP(1)変数・制御構造編」「WordPressで学ぶPHP(2)データ構造編」「WordPressで学ぶPHP(3)関数編」の続編にあたり、Webブラウザとサーバー(PHP)との通信と、PHPから他のサーバーに通信することについて解説します。
Movable Typeのセキュリティホール修正版がリリース
Movable TypeおよびMovable Type Enterpriseにセキュリティホールが見つかり、それを修正したもの(Movable Type 3.36/4.01aなど)がリリースされています。
Movable Typeユーザーの皆様は、至急バージョンアップしてください。
シックスアパート:【重要】 Movable Type 新バージョンとパッチの提供について
Movable Typeは基本的にはページを静的に出力するシステムです。
ただ、コメントのプレビューなど、CGIを利用して動的にページを再構築している箇所が部分的にあります。
ブログをPHP化している場合、特定のCGIのURLにアクセスすると、PHPのコードがそのまま出力されることがあります(CGIの実行結果はそのままWebブラウザに送信され、PHPの処理を通らないため)。
そのため、PHP化したページの中に、パスワード等の重要な情報が含まれていると、PHPコードが見えてしまい、パスワード等を盗まれるなどの恐れがあります。
また、PHPだけでなく、テンプレートにASP(Active Server Pages)やJSP(Java Server Pages)のコードが含まれている場合も、同様の問題が発生します。
Movable Type 4.01aなどでは、この問題が修正されています。
なお、セキュリティホールの修正以外にも、いくつかの不具合修正が行われているようです。
ちなみに、Movable Type 4.01aとMovable Type 4.01を比較してみたところ、以下のファイルやフォルダが更新されていました。
- extlib/Dataディレクトリのいくつかのファイル
- lib/MT.pm
- lib/MT/App/Comments.pm
- mt-static/js/coomonディレクトリのいくつかのファイル
- mt-static/js/mt-core-compact.js
- php/mt.php
- mt-check.cgi
また、バージョンアップするとともに、「mt-view.cgi」を使っていなければ削除するようにします。
mt-view.cgiは、ブログの各テンプレートを動的に再構築するCGIで、上にあげたようなセキュリティホールが発生する恐れがあります。
通常の利用法ではmt-view.cgiは使用することはありませんので、削除しても問題ありません。
なお、拙作の「リアルタイム再構築プラグイン」を使うと、mt-view.cgiと同様のことを行うことができます。
このプラグインでは、許可したテンプレートのみリアルタイム再構築するようになっていますので、セキュリティホールを防ぎつつ、動的な再構築を行うこができます。
