Movable Typeユーザーの皆様
Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。
概要:
Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。
影響のあるバージョン:
現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。
対処方法:
9/26 11:15より、対策を施したMovable Typeの新バージョン(Movable Type 3.33)をリリースいたします。すみやかにバージョンアップをお願い致します。
なお、Movable Type Enterpriseの新バージョン(1.03)は明日提供の予定です。(提供開始しました。本文末尾をご覧ください)
Movable Type 3.33の入手場所
Movable Type バージョン3.32(Movable Type Enterprise 1.02)と、バージョン3.33(Movable Type Enterprise 1.03)は、以下の9ファイルの変更を除いて同一です。
バージョンアップの方法は以下をご覧ください。(Linux等 / Windows環境)
MT_DIR(カッコ内はファイルのリビジョン番号)
├─lib
│ MT.pm (584)
│ └─MT
│ │ App.pm (689)
│ │ Log.pm (696)
│ │ Sanitize.pm (691)
│ └─App
│ CMS.pm (690)
│ Search.pm (684)
├─php
│ mt.php (N/A)
│ └─lib
│ sanitize_lib.php (N/A)
└─plugins
└─nofollow
nofollow.pl (684)
Movable Type 3.2-ja-2 以前のバージョンをお使いのお客様へ:
脆弱性回避のために、速やかにMovable Type 3.33へアップグレードしていただくよう、お願いいたします。Movable Type 3.33には、今回のセキュリティ脆弱性の修正以外にも、数多くの点で機能と信頼性が向上しています。
ただし、今回の問題の緊急性と重要性を考慮して、速やかにバージョンアップできない方を対象に、9/26 11:15よりバージョン3.2用のパッチをご提供する予定です。
Movable Type 3.2用パッチファイルの入手場所
パッチの内容は以下のとおりです。パッチを適用するには、以下の6ファイルを、新しいバージョン(パッチに含まれているファイル)のファイルに置き換えてください。なお、ディレクトリの位置を間違えないようにご注意ください。
MT_DIR
├─lib
│ MT.pm
│ └─MT
│ │ App.pm
│ │ Sanitize.pm
│ └─App
│ CMS.pm
└─php
mt.php
└─lib
sanitize_lib.php
パッチを適用すると、バージョン表記が3.21-jaとなります。
[17:00追記]
今回の脆弱性への対策を施した Movable Type Enterprise 1.03 をリリースしました。
お手数ですが、ユーザーサイトにログインしてダウンロードをお願いいたします。