再構築不要化カスタマイズ(セキュリティホール修正)

2005年12月19日 MySQL/PostgreSQL/SQLite全対応版を公開しました。こちらをお使いください。

先日ご紹介した「再構築を不要にするカスタマイズ」に、セキュリティホールがありました。大変申し訳ございませんでした。
修正版を作りましたので、このカスタマイズをお使いの方は、お手数ですが差し替えをお願いいたします。

セキュリティホールの内容は、以下のようなものです。

●条件
以下の条件を満たしている場合に、セキュリティホールが起こりえます。
・BlogをPHP化していいる
・テンプレート内のPHPのスクリプトに、パスワード等の人に見られては困る情報を入れている

●セキュリティホールの内容
mt-dynamic.phpの動作を真似てmt-dynamic.cgiを直接に呼び出すことで、PHPを実行する前のソースを表示することができ、PHPのスクリプト内のパスワード等が漏れます。

上記の条件に該当する方はほとんどいないと思いますが、念のために修正しておいていただけますようお願いします。

修正版の導入手順は以下の通りです。

●1.カスタマイズを行う
再構築を不要にするカスタマイズ」のエントリーの通りの手順で、カスタマイズを行います。
なお、すでにカスタマイズ済みの方は、mt-dynamic.cgiとmt-dynamic.phpを差し替えるだけでOKです。

●2.「phptemp」ディレクトリを作成する
Blogの出力先ディレクトリの中に、「phptemp」というディレクトリを作り、そのパーミッションを707に設定します。

MT Cloud Starter Kit
Movable Typeのプラグイン集「MT Cloud Starter Kit」をぜひご利用ください