Movable Type News

Movable Type Enterprise 1.53日本語版の提供を開始

Movable Type Enterpriseユーザーの皆様

本日より、Movable Type Enterprise 1.53日本語版 (以下1.53) の提供を開始いたします。

1.53の主な修正点は、1.52以降に発見されたセキュリティ上の不具合への対策と、その他の細かい不具合の修正です。

既存のユーザーの皆は、アップグレード後に手作業が必要になります。詳細は下記をご参照ください。
マニュアルに沿ってインストール(アップグレード)をしていただきますようにお願い致します。

1.53は、以下の方法で確認していただくことができます。

  1. ダウンロードしたファイルを解凍すると、"MTE-1.53-ja"ディレクトリが自動生成されます。
  2. インストール後のバージョン表記が、"1.53"になります。

手動での修正について

テンプレートの修正

今回のスクリプト実行を許す脆弱性の修正は、テンプレートに対して行われています。そのため、ソフトウェアをアップデートするだけでは、修正が適用されません。お客様の環境で、以下の手順でテンプレートを手動修正していただく必要があります。

  1. ブログのメニューで「テンプレート」をクリックする。テンプレート一覧が表示される。
  2. 「システム」タブをクリックする。
  3. 「コメント・プレビュー」テンプレートをクリックして表示する。
  4. 以下のHTMLおよびテンプレートタグを探して、 
       <input id="comment-author" name="author" size="30" value="<$MTCommentPreviewAuthor$>" />
   <input id="comment-email" name="email" size="30" value="<$MTCommentPreviewEmail$>" />
   <input id="comment-url" name="url" size="30" value="<$MTCommentPreviewURL$>" />
    それぞれのテンプレートタグ(<$MTCommentPreview●●●$>)に、「encode_html="1"」属性を追加する。追加後のHTMLおよびテンプレートタグはそれぞれ以下のようになる。「encode_html="1"」を追加する場所に注意する。 
       <input id="comment-author" name="author" size="30" value="<$MTCommentPreviewAuthor encode_html="1"$>" />
   <input id="comment-email" name="email" size="30" value="<$MTCommentPreviewEmail encode_html="1"$>" />
   <input id="comment-url" name="url" size="30" value="<$MTCommentPreviewURL encode_html="1"$>" />

1.52から1.53の変更点

インストール作業の簡略化
mt.cgiにアクセスしたときに構成ファイルが用意されていない場合、自動的にmt-wizard.cgiにリダイレクトされるようになりました。
コメント・プレビューでクロスサイトスクリプティングを許す脆弱性
コメント・プレビュー画面でスクリプト実行を許す脆弱性がありました。この不具合を修正しました。
MTDateタグでutc属性を利用すると夏時間の間に不正な日付が出力される
MTDateタグでutc属性を利用すると夏時間の間に不正な日付が出力される不具合がありましたが修正しました。
テンプレートの名前カラムのサイズを拡張
テンプレートの名前カラムのサイズを拡張しました。これに伴い、データベーススキーマが更新されました。
別のブラウザで同時アクセスしたときの動作
2つのブラウザでログインすると、最初のブラウザでログアウトされてしまう不具合を修正しました。
グループからユーザーを削除する動作
グループからユーザーを削除できない不具合を修正しました。