Movable Type 4 および Movable Type 5 で確認された複数のセキュリティ問題の修正バージョンとして、 Movable Type 4.28 および Movable Type 5.04 の提供を開始いたします。Movable Type 4 および Movable Type 5 のすべてのバージョンの、修正版へのアップグレードを強く推奨します。
概要
Movable Type 5.031 および 4.27 を含む以前のバージョンでは、アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、クロスサイトスクリプティング(XSS)および SQLインジェクションが発生する可能性があります。
想定される影響
遠隔の第三者により、当該製品で管理している情報を閲覧されたり、変更されたりする可能性があります。また、遠隔の第三者が特定の操作をおこなうことで、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
影響を受けるバージョン
以下の各製品の、5.031 および 4.27 を含む以前のバージョン。
- Movable Type Open Source 4.x
- Movable Type Open Source 5.x
- Movable Type 4.x (Professional Pack, Community Pack を同梱)
- Movable Type 5.x (Professional Pack, Community Pack を同梱)
- Movable Type Enterprise 4.x
- Movable Type Advanced 5.x
バージョンの確認方法
Movable Type の管理画面にサインインし、画面下の Movable Type のバージョンを確認してください。
対策方法
問題の対象となるバージョンをお使いの場合は、2010年12月8日に公開された、以下の修正済みのバージョンにアップグレードしてください。
提供を開始するバージョン
- Movable Type Open Source 4.28
- Movable Type Open Source 5.04
- Movable Type 4.28 (Professional Pack, Community Pack を同梱)
- Movable Type 5.04 (Professional Pack, Community Pack を同梱)
- Movable Type Enterprise 4.28
- Movable Type Advanced 5.04
以下のページよりダウンロード可能です。
- Movable Type ライセンスをお持ちの方
- 個人ライセンスでお使いの方
- オープンソース版をお使いの方
その他の Movable Type 5 の変更点、および既知の問題については以下を参照してください。
アップグレード方法については、以下のドキュメントを参照してください。
以上です。