MovableType 3.33リリース セキュリティホール改善

• Sep262006
• Author: bzbell
• Categories: MovableType
• Tags: MovableType

• Next Page: MovableType誕生5周年
• Prev Page: MovableType 3.32 日本語版 提供開始

ご無沙汰しております重要なお知らせがシックス・アパートより配信されました。 以下に引用します。

Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。

概要：

Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。

影響のあるバージョン：

現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。

とのことでございます。

クロスサイトスクリプティングって何といつものようにググってみると、サイトを閲覧するだけで、その人の個人情報が盗まれたり、パソコン上のファイルを壊されたりしちゃうらしいです

詳しくはみなさんもググってみてください。 とにかく深刻なセキュリティホールなようなので、すぐにでも対応した方が良さそうです。
【重要】 Movable Type 新バージョンとパッチの提供について

- 2006.09.27 追記 -

とりあえず、今回のアップグレードは新たにインストールしなくてすみそうです。 わたしは上記URLで記載された、変更されたファイルのみ更新して済ませました

• Related Entries
• 08/05/02Movable Type のログイン画面をカスタマイズ
• 08/04/26Movable Type のユーザ登録について
• 08/04/16Movable Type 4.15 ベータ
• 08/04/13Movable Type 4.1 用テンプレート（TUBES）
• 08/04/07Movable Type 4.1 用テンプレート（BLADESILVER）
• 08/03/30Movable Type 4.1 用テンプレート（FLORAL）
• 08/03/23Movable Type 4.1 用テンプレート（CINE）
• 08/02/03SQL プラグイン for MT4
• 08/01/20Movable Type でリンク集を作る for MT4
• 08/01/19Movable Type RC1 公開

• Edit
• Permalink
• Comments(14)
• Trackbacks(3)

 Trackback Pings(3)

TrackBack URL for this entry:

from magnet :..

MovableTypeにてクロスサイトスクリプティングによる脆弱性が確認されたた...

Tracked on September 27, 2006

from hakuro.info blog

シックスアパート社は、ブログツールMovable Typeにおいて「クロスサイトスクリプティング」という脆弱性がみつかり、対策を施したバージョン（3.3...

Tracked on September 27, 2006

from バリごと。

Movable Typeを3.32から3.33へアップグレードした。今回は、9つ...

Tracked on September 27, 2006

 Comments(14)

#1: Posted by magnet [RES]

こんばんは＾＾　おひさしぶりです。突然のリリースでびっくりしました。
こんな時間に気がついたので・・明日アップグレードしたいと思ってます。
ＴＢさせていただきました。またよろしくお願いします＾＾

Posted on September 27, 2006

#2: Posted by bzbell [RES]

>>1 magnet さん

こんにちわ^^

そうですね。
わたしも昨日眠い中、差分ファイルだけUPして、一応再構築しときました(￣∇￣)v

Posted on September 27, 2006

#3: Posted by ゆにっく [RES]

こんちはー。(^-^)

昨日慌てて3.33にアップグレードしました。「セキュリティの脆弱性」と聞いたもので。Windowsでも毎月パッチがリリースされますけど、あれだって速攻でパッチを当てますから。(笑)

個人情報を盗まれるってのはやっぱり気持ち悪い。3.33にして完全に防げるんかなー???それと、バージョンアップはこれで最後にして欲しいです。

それと、トラックバックしたいんですけど、403Throttledというのが出てここにトラックバックできません。(T0T)僕の方はどういう風に対応したらええんでしょうか?

Posted on September 27, 2006

#4: Posted by oscar [RES]

こんにちは、bzbellさん。
最近エントリーを上げてないのは、なんか大物導入のテスト中かナ？

質問なんだけど、「TrimX2Yプラグイン」って動作してます？
確か使ってましたよね・・・

私のところ、いきなり無効になっちゃいました。
再構築後にびっくり・・・

Posted on September 27, 2006

#5: Posted by bzbell [RES]

みなさん、こんにちわ^^
ご無沙汰しております。

>>3 ゆにっく さん

わたしも昨日眠いの我慢してUPしました。
わたし個人だけの被害ならまだしも、訪問者さんにも影響があるとのことだったので、すぐUPしました。

機能的な不具合はしょうがないとは思いますが、今回のようなセキュリティ・ホールに関するUPは、これを最後にして欲しいですね(*^。^*)

> それと、トラックバックしたいんですけど、403Throttledというのが出てここにトラックバックできません。(T0T)僕の方はどういう風に対応したらええんでしょうか?

えぇ!?Σ(￣Д￣；) 確かそのエラーってわたしの方で拒否した時に表示されるものだったような…。 わたし別に何もしてない…とは言い切れないけど（；￣－￣）

• 1日( or 1時間 )内のトラバ数の上限を設定してます。
• 同一IPからの重複トラバは弾いてます。

などが考えられますが、家帰ったら見てみます。 MT3.33の影響ではありませんように…。

>>4 oscar さん

> 最近エントリーを上げてないのは、なんか大物導入のテスト中かナ？

いえいえ(汗)
実は今更ながらハリー・ポッターの最新刊( ハリー・ポッターと謎のプリンス )を読んでる最中で、記事滞っちゃってます。
わたしは読むのも遅いもので（；￣－￣）はは
でも、みなさんのブログはチェックしてますよ♪

> 質問なんだけど、「TrimX2Yプラグイン」って動作してます？

oscarさんの記事に言われてましたね。今は代替プラグインにしているようで…。
わたしの方ではトリミングされてますよ。
特に問題なさそうですけど（￣∇￣;)
つか、oscarさん、いろいろカスタマイズしまくってるから、何らかのプラグイン、Ajax関連のJSが影響してるってことはないでしょうか。

以前、わたしそんなことありました（￣∇￣)b
パッとみ間違ってないので、相互干渉してたらしく、1つ1つ地道につぶしていきました（つω-`｡）とほほ

Posted on September 27, 2006

#6: Posted by oscar [RES]

>わたしの方ではトリミングされてますよ。
やっぱりそうですか。

実は、Perlのライブラリ大分入れ替えたりしてるんで、そこら辺って気もしてます。使いそうもないプラグイン試してみたりして・・・

現在メールフォームをwindow.jsでポップアップするよう改造中です。
Lightbox風にポップアップする部分までは出来てます。完成すれば、さらにAjaxっぽくなりますよ。

Posted on September 27, 2006

#7: Posted by bzbell [RES]

>>6 oscar さん

> 使いそうもないプラグイン試してみたりして・・・

わたしもそれではまりました!!
使ってみないことには分かりませんもんね（￣∇￣)b

> 現在メールフォームをwindow.jsでポップアップするよう改造中です。

既にチェック済みです（￣∇￣)v
カッコ良かったです♪　いいかんじでした♪
わたしのPOSTは届きましたかぁ(*^。^*)

Posted on September 27, 2006

#8: Posted by ゆにっく [RES]

こんばんはー。ついさっきまで、mt-config.cgiをいじっていました。(笑)TimePingoutを20→60に変更して、OneHourMaxPings 10 → 50
OneDayMaxPings 50 → 250を新たに設定したら、とりあえずsix apartの方にはトラックバック打てました。six apartにトラバ反映されたの、これが初めてなんです。もっと早くやれば良かったです。

この記事にもたぶんトラバ送れてると思います。(^-^)ご迷惑をおかけしました。やはりこっちの問題でした。MTは色々勉強になるねー、ほんま。(^^;)

Posted on September 27, 2006

#9: Posted by bzbell [RES]

>>8 ゆにっく さん

> この記事にもたぶんトラバ送れてると思います。(^-^)

はい。来てますよ(￣∇￣)/
わたしも今見てたところだったんですけど、わたし悪くない(´･д･`)…って思ってたところだったんです。

でも…トラバのタイムアウトってそんなメッセージ内容じゃなかったですよ。
「HTTP error: 500 read timeout」って表示されてましたよ。

"Throttled"って言われてるので、てっきりわたしの方が弾いたのかと思いました（￣∇￣;）ほっ

Posted on September 27, 2006

#10: Posted by ゆにっく [RES]

『「http://bizcaz.com/mt/mt-tb.cgi/245」へのトラックバックは失敗しました: HTTP error: 403 Throttled』

と、ここにトラックバックした時のログです。500の方は出てません。(^^;)なんかややこしー。(笑)ま、どっちにしたってトラックバック送れたんやら解決、解決♪

Posted on September 27, 2006

#11: Posted by ぷーこ [RES]

こんにちは♪
私はロリポップユーザーなんですが、
ロリポからわざわざこの件に関するメールを頂いて
さっそくバージョンアップ(;^_^A アセアセ・・・
でも最近のMTってなかなか落ち着かないですよね。
これで暫くは落ち着くのかな？困ったものです(-_-;

Posted on September 28, 2006

#12: Posted by bzbell [RES]

>>11 ぷーこ さん

そういえば、わたしのとこにもお知らせメル来てたなぁ( ´･ω･`)

> でも最近のMTってなかなか落ち着かないですよね。

ですね。
MT3.2より前のバージョンを使ってるブログもチラホラみかけるので、そういうサイトさんは大変でしょうね( ´･ω･`)
だって大きく違ってるわけだしね。

修正パッチがでてるからそうでもないのかな…。
どちらにしても、そろそろ落ち着いて欲しいですね(;￣∇￣A

Posted on September 28, 2006

#13: Posted by Reiko [RES]

bzbellさん、こんばんは〜

今回のMTのクロスサイトスクリプティングによる脆弱性〜

もう、びっくりでした。
クロスサイトスクリプティングによる脆弱性の意味がわからなかったのですが、
アップしなければ、、、
気が付いたのが昨日の夜遅く

やっと今日、3.33にアップ

3.2以前のバージョンは大丈夫なのかななんて思ったりして、、、

トラバの、403エラーは、わたしもおきました。

相互トラバしたのですが、お互いできなくって、
その方が、調べてくれて、TimePingoutなどの設定で解決しました。(^^
よくわかりませんが、ほかにも方法があるかもしれませんが。

MTは、わたしには少し難しい！！
でも、勉強になりますです。はい

Posted on September 30, 2006

#14: Posted by bzbell [RES]

>>13 Reiko さん

こんにちわ^^

> クロスサイトスクリプティングによる脆弱性の意味がわからなかったのですが、
> アップしなければ、、、

わたしも始めて聞いたので、ググってみるまで知りませんでした(；￣－￣)はは

> その方が、調べてくれて、TimePingoutなどの設定で解決しました。(^^

みたいですね。
MT3.33にしたからなのか分からないけど、メッセージ変わりましたよね!?
てっきりトラバの制限を入れていたわたしの方かと思ってました(＞∀＜　)

> MTは、わたしには少し難しい！！

大丈夫ですよ(￣∇￣)b
ReikoさんPHP化したり、カスタマイズしたりなど前向きにやってるじゃないですか♪
わたしもReikoさんのように前向きにがんばってますo(￣∀￣)o
分からないことはお互い助け合えたらいいですね♪

Posted on September 30, 2006