Movable Typeユーザーの皆様
本日より、Movable Type 3.35日本語版 (以下3.35-ja) の提供を開始いたします。
3.35-jaの主な修正点は、3.34以降に発見されたセキュリティ上の不具合への対策と、インストールの簡略化です。
既存のユーザーの皆さまは、アップグレード後に手作業が必要になります。詳細は下記をご参照ください。
マニュアルに沿ってインストール(アップグレード)をしていただきますようにお願い致します。
最新版は以下より入手ください。
- 個人無償ライセンス
- https://www.sixapart.jp/movabletype/mt3/license.html#personal
3.35-jaは、以下の方法で確認していただくことができます。
- ダウンロードしたファイルを解凍すると、"MT-3.35-ja"ディレクトリが自動生成されます。
- インストール後のバージョン表記が、"3.35"になります。
手動での修正について
- テンプレートの修正
-
今回のスクリプト実行を許す脆弱性の修正は、テンプレートに対して行われています。そのため、ソフトウェアをアップデートするだけでは、修正が適用されません。お客様の環境で、以下の手順でテンプレートを手動修正していただく必要があります。
- ブログのメニューで「テンプレート」をクリックする。テンプレート一覧が表示される。
- 「システム」タブをクリックする。
- 「コメント・プレビュー」テンプレートをクリックして表示する。
- 以下のHTMLおよびテンプレートタグを探して、
<input id="comment-author" name="author" size="30" value="<$MTCommentPreviewAuthor$>" /> <input id="comment-email" name="email" size="30" value="<$MTCommentPreviewEmail$>" /> <input id="comment-url" name="url" size="30" value="<$MTCommentPreviewURL$>" />
それぞれのテンプレートタグ(<$MTCommentPreview●●●$>)に、「encode_html="1"」属性を追加する。追加後のHTMLおよびテンプレートタグはそれぞれ以下のようになる。「encode_html="1"」を追加する場所に注意する。<input id="comment-author" name="author" size="30" value="<$MTCommentPreviewAuthor encode_html="1"$>" /> <input id="comment-email" name="email" size="30" value="<$MTCommentPreviewEmail encode_html="1"$>" /> <input id="comment-url" name="url" size="30" value="<$MTCommentPreviewURL encode_html="1"$>" />
既知の問題点
- index.htmlのヘルプリンクに不要なスラッシュがついている
- Movable Typeを解凍したディレクトリの直下にあるindex.html中に含まれる、オンライン・ヘルプへのリンク先の最後に不要なスラッシュが着いています。動作に支障はありません。
3.34から3.35の変更点
- インストール作業の簡略化
- mt.cgiにアクセスしたときに構成ファイルが用意されていない場合、自動的にmt-wizard.cgiにリダイレクトされるようになりました。
- コメント・プレビューでクロスサイトスクリプティングを許す脆弱性
- コメント・プレビュー画面でスクリプト実行を許す脆弱性がありました。この不具合を修正しました。
- convert-dbおよびmt-db2sql.cgiで文字化けする可能性
- convert-dbおよびmt-db2sql.cgiで別のデータベースに移行すると移行先のデータが文字化けする可能性がありました。この不具合を修正しました。
- MTDateタグでutc属性を利用すると夏時間の間に不正な日付が出力される
- MTDateタグでutc属性を利用すると夏時間の間に不正な日付が出力される不具合がありましたが修正しました。
- テンプレートの名前カラムのサイズを拡張
- テンプレートの名前カラムのサイズを拡張しました。これに伴い、データベーススキーマが更新されました。