Movable Type News
[重要] 6.2.6、6.1.3 セキュリティアップデートの提供開始および ImageMagick の脆弱性対応について
Movable Type 6.2.6、6.1.3 セキュリティアップデートおよび、ImageMagickの脆弱性(CVE-2016-5118)への対応についてお知らせします。
Movable Type 6.2.6、6.1.3 セキュリティアップデートの提供を開始
Movable Type 6.2.5、6.1.2 で確認されたセキュリティ問題の修正版として、Movable Type 6.2.6、6.1.3 ならびに Movable Type Advanced 6.2.6、6.1.3 の提供を開始します。また、6.2.6 には、すでにクラウド版に適用されている 6.2.5 の内容も含まれています。
セキュリティアップデートの概要
Movable Type 6.2.5、6.1.2 を含む以前のバージョンにおいて、SQL インジェクションが発生する可能性があります。修正版へのアップグレードを強く推奨します。
想定される影響
遠隔の第三者により、当該製品で管理している情報を閲覧されたり、変更されたりする可能性があります。
影響を受けるバージョン
以下の各製品の、 6.2.5、6.1.2 を含む以前のバージョン(EOM、EOL を迎えている各バージョンも影響を受けます)。
- Movable Type 6.x (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 6.x
提供を開始するバージョン
対象となるバージョンをお使いの場合は、以下の修正済みのバージョンのいずれかにアップグレードしてください。
- Movable Type 6.2.6 (Professional Pack、Community Pack を同梱)
- Movable Type 6.1.3 (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 6.2.6
- Movable Type Advanced 6.1.3
Movable Type 6.0 は、2016年2月12日に EOM(End of Maintenance)となっており、Movable Type 5 以前のバージョンは、すべて既にEOL(End of Life)となり製品ライフサイクルが終了しています。最新版へのアップグレードをご検討ください。
Movable Type の製品ライフサイクルについては、下記をご参照ください。
Movable Type 6.2.6 / 6.1.3 の入手方法
- Movable Type 6 のライセンスをお持ちでない方
- ライセンスご案内ページからご購入ください。
- Movable Type 6 のライセンスをお持ちの方、Movable Type Advanced をご利用の方
- シックス・アパート ユーザーサイトからダウンロードいただけます。
- Movable Type クラウド版をご利用の方
- 既にメンテナンスを実施し、アップデートが完了しています。本アップデートに基づく、お客様の作業はございません。
- Movable Type for AWS をご利用の方
- Movable Type for AWS バージョン 6.0.4 以降を AWS Marketplace から新しくインスタンス化している場合は、yum コマンドを利用したアップデートが利用可能です(AWS Marketplace で提供中のパッケージは現在申請中のため、近日中に更新予定です)。
アップデートの詳しい手順については、以下のページをご覧ください。 - 個人無償版をご利用の方
- 個人無償版ダウンロードフォームより再度お申し込みいただき、ダウンロードしてご利用ください。
その他、Movable Type の詳細は、製品サイトをご覧ください。
ソフトウェア版 アップグレード手順
パッケージをダウンロードしたら、以下のページを参考に、アップグレード作業をおこなってください。
アップグレード後に必要な作業
本リリースでは、アップグレードに必要な作業はございません。
Movable Type 6.2.6 の変更点と修正内容
Movable Type 6.2.6 の変更点や不具合修正の内容は、以下のページをご覧ください。
ImageMagickの脆弱性(CVE-2016-5118)への対応について
先日発表された ImageMagick の脆弱性 (CVE-2016-5118) への対策についてお知らせします。脆弱性の詳細については、以下のサイトをご覧ください。
- CVE-2016-5118(英文)
Movable Type クラウド版(UNIBaaS 含む)
すべてのお客様の環境で ImageMagick のアップデートを行い、対応済みです。本アップデートに基づく、お客様の作業はございません。
Movable Type for AWS
Movable Type for AWS については、Amazon Linux の対応済みパッケージが配布され次第、yum update を実施してください。
追記 2016年6月23日: Amazon Linux の対応済みパッケージの提供が開始されました。
- ALAS-2016-716(英語)
$ sudo yum clean all
$ sudo yum update ImageMagick
コマンドが正常に終了したのち、インスタンスの再起動を行ってください
以上です。
Movable Type のくわしい使い方や、タグリファレンス、開発者向けのドキュメントなどは、MovableType.jp で公開しています。プラグインやテーマは、プラグインディレクトリをご覧ください。