Movable Type 6.0.2、5.2.9、5.161 で確認された複数のセキュリティ問題の修正版として、Movable Type 6.0.3、5.2.10 ならびに 5.17 の提供を開始します。また、Movable Type 6.0.3 には、複数の不具合修正が含まれています。
セキュリティアップデートの概要
Movable Type 6.0.2、5.2.9 および 5.161 を含む以前のバージョンでは、クロスサイトスクリプティング(XSS)が発生する可能性があります。Movable Type 6 および Movable Type 5 のすべてのバージョンの、修正版へのアップグレードを強く推奨します。
想定される影響
- 記事の投稿画面の一部にのフィールドにおいて、適切にエスケープ処理がされていないために、クロスサイトスクリプティング(XSS)が発生する可能性があります。
- コメント投稿者の入力項目の一部において、適切にエスケープ処理がされていないために、クロスサイトスクリプティング(XSS)が発生する可能性があります。
影響を受けるバージョン
以下の各製品の、6.0.2、5.2.9 ならびに 5.161 を含む以前のバージョン
- Movable Type 6.x(Professional Pack、Community Pack を同梱)
- Movable Type Advanced 6.x
- Movable Type 5.x(Professional Pack、Community Pack を同梱)
- Movable Type Advanced 5.x
- Movable Type Open Source 5.x
提供を開始するバージョン
対象となるバージョンをお使いの場合は、以下の修正済みのバージョンのいずれかにアップグレードしてください。
- Movable Type 6.0.3 (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 6.0.3
- Movable Type 5.2.10 (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 5.2.10
- Movable Type Open Source 5.2.10
- Movable Type 5.17 (Professional Pack、Community Pack を同梱)
- Movable Type Advanced 5.17
- Movable Type Open Source 5.17
以下のページよりダウンロード可能です。
- Movable Type ライセンスをお持ちの方(個人無償ライセンス、開発者ライセンスを含みます)
- MTOS(オープンソース版)のダウンロード
アップグレード手順
パッケージをダウンロードしたら、以下のページを参考に、アップグレード作業をおこなってください。
アップグレード後に必要な作業
Movable Type 6.0.3、5.2.10 ならびに 5.17 では、セキュリティ問題の修正のために、ウェブサイトおよびブログのテーマに含まれているテンプレートの一部が変更されています。以下のテーマをご利用の場合は、テンプレートのリフレッシュを行うか、手動でテンプレートの修正を行ってください。
影響を受けるテーマ
- クラシックブログ
- クラシックウェブサイト
- Pico
- プロフェッショナル ウェブサイト
- プロフェッショナル ブログ
- コミュニティブログ
- コミュニティ掲示板
- Rainier
- Eiger
手動で修正する方法
MovableType.jp で修正方法をご案内しています。
テーマ作者の方は、上記の記事を参考にしていただき、必要に応じて修正を行ってください。
Movable Type 6.0.3 の変更点と修正内容
Movable Type 6.0.3 の変更点や不具合修正の内容は、以下のページをご覧ください。
以上です。