Movable Type に発見された不具合の修正および多数の改善を行ったバージョン Movable Type 7 r.5301 の提供を開始します。また、これに伴い、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.53 をリリースします。
本リリースにはセキュリティに関する修正が含まれますので、必ずアップデートをお願いします。
なお、Movable Type 6 系については、セキュリティの修正のみを行なった Movable Type 6.8.7 をリリースします。
【2022/8/31 追記】
Movable Type 7 r.5301 / 6.8.7 のAMI版において、いくつかの問題が見つかったため修正版をリリースしました。
修正点は次の3点となります。
- 指定日投稿などに利用している run-periodic-tasks が動作しない問題を解消(/etc/cron.d/movabletype のパーミッションの設定を修正)
- /etc/logrotate.d/movabletype のパーミッションの設定を修正し、logrotate が正常に行われない問題を解消
- Amazon Linux 2 / Apache 版で、PHP 7 をバージョンアップしたときに PHP が正常に動作しなくなることがある問題を解消
ニュース目次
セキュリティ問題の修正について
XMLRPC API を経由した不正なリクエストにより、組み込みコマンドやシェルコマンドの限定的な実行が可能な脆弱性(CVE-2022-38078)を修正しました。
対象となるバージョン
脆弱性の対象は次のバージョンです。r.5202、6.8.6、Premium 1.52 以前のすべてのバージョンが対象です。
- Movable Type (Advanced) 7 r.4207 - r. 5202
- Movable Type (Advanced) 6.0.0 - 6.8.6
- Movable Type Premium (Advanced Edition) 1.0 - 1.52
この脆弱性は Movable Type 4.0 以降のすべてのバージョンに存在します。
Movable Type 7 r.5301 について
セキュリティ問題のほか、多数の修正および機能改善を行なっています。
- 記事、ページ、コンテンツデータの一覧画面の表示オプションに「更新者」を追加。あわせて「最終更新者」を扱うテンプレートタグを追加
- コンテンツデータの一覧画面に記事の一覧画面と同じようにデータの総数を表示するように
この他、すべての修正内容や改善された機能についてはリリースノートをご参照ください。
Movable Type Premium / Movable Type Premium (Advanced Edition) 1.53 について
セキュリティ問題の修正を含む Movable Type 7 r.5301 の修正にくわえて、いくつかの修正および改善を行なっています。
- sitesyncでFTPSによるファイル同期を行えるように
- 承認待ち記事に表示される記事のアイコンの色をステータスにごとに変更
- MTAppjQuery をv2.7.7にアップデート
- blog_id に紐付かないコンテンツデータが存在する状態でダッシュボードが表示できない問題を修正
詳細はリリースノートをご参照ください。
Movable Type 6.8.7 について
セキュリティ問題の修正のみの対応となります。
なお、本バージョンは 2022年 5月19日にリリースした Movable Type 6.8.6 向けパッチ を含みます。
古い Movable Type を利用していてアップデートがすぐに行えない場合の対処方法(ワークアラウンド)について
アップデートが行えない場合は、次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。
- mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
- CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
- PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に
RestrictedPSGIApp xmlrpcを設定する - PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に
XMLRPCScript [ランダムで充分に長い文字列]を設定する
それぞれの入手方法について
最新バージョンプログラムの入手方法は、お客様が購入し、シックス・アパート ユーザーサイト に登録されている Movable Type ライセンスの製品、バージョンによって異なります。登録されているライセンスをご確認ください。
ライセンスごとの入手方法は次の通りです。
- 以下のいずれかのライセンスがユーザーサイトに登録されているお客様
-
・Movable Type 7
・Movable Type 6 & 7
・Movable Type 年間メンテナンス
・Movable Type Advanced
・Movable Type Premium
・Movable Type Premium (Advanced Edition)
年間メンテナンスを更新されていて、メンテナンス期限内であれば、シックス・アパート ユーザーサイトより最新バージョンをダウンロード可能です。 メンテナンス期限が切れている場合は、各製品ページよりメンテナンスをご注文ください。
Movable Type を最新のバージョンにアップグレードする手順についてはマニュアルをご覧ください。 - Movable Type 6 を含むそれ以前のバージョンのライセンスがユーザーサイトに登録されているお客様
- Movable Type 7 ソフトウェア版(99,000円税込)の新規購入が必要となります。下記のページよりご注文をお願いいたします。
※上記のライセンスには納品から1年のメンテナンスが含まれます。次年度以降1年毎にメンテナンス(33,000円・税込)を更新いただくことで、メンテナンス(Movable Type 7 / Movable Type 6 の最新バージョンおよびサポートの提供)が継続提供される仕組みです。
Movable Type を最新のバージョンにアップグレードする手順についてはマニュアルをご覧ください。 - Movable Type ライセンス登録状況が不明な場合
- 3年以内にライセンスやメンテナンスを購入されている場合は、下記のフォームよりライセンス登録情報照会をご依頼ください。
Movable Type に対するライセンスやメンテナンスの費用のお支払いが2年以上確認いただけなかった場合、Movable Type 7 ソフトウェア版(99,000円税込)の購入をご検討ください。下記のページよりご注文をお願いします。
※上記のライセンスには納品から1年のメンテナンスが含まれます。次年度以降1年毎にメンテナンス(33,000円・税込)を更新いただくことで、メンテナンス(Movable Type 7 / Movable Type 6 の最新バージョンおよびサポートの提供)が継続提供される仕組みです。
※Movable Type ソフトウェア版 を2年以上前に購入され、一度もメンテナンスを更新されていない場合、新規ライセンスと同額のメンテナンス費用のお支払いが発生します。その場合は新規購入された方がメンテナンス期限が納品から1年後に設定され、お得になります。 - クラウド版で Movable Type をご利用の方
- すべてのお客様の環境で、アップデートが完了しています。本アップデートに基づく、お客様の作業はございません。
※ 自動アップデートを無効にしているお客様の環境についても、ご利用中の Movable Type のバージョンに応じた脆弱性対応のパッチアップデートを実施しています。 - Movable Type AMI版 をご利用の方
- ご利用中の方は、yum コマンドを利用してアップデートが利用可能です。
アップデートの詳しい手順についてはマニュアルをご覧ください。 - 個人無償版をご利用の方
- 個人無償版ダウンロードフォームより再度お申し込みいただき、改めてダウンロードしてご利用ください。
その他、Movable Type の詳細は、製品サイトをご覧ください。