Movable Type 備忘録

 MovableType 3.33リリース セキュリティホール改善

  • Sep262006
  • Vote:
    http://bizcaz.com/archives/2006/09/26-231923.php
  • Categories: MovableType
  • Tags:
  • Social Bookmark

ご無沙汰しております重要なお知らせがシックス・アパートより配信されました。 以下に引用します。

Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。

概要:

Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。

影響のあるバージョン:

現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。

とのことでございます。

クロスサイトスクリプティングって何といつものようにググってみると、サイトを閲覧するだけで、その人の個人情報が盗まれたり、パソコン上のファイルを壊されたりしちゃうらしいです

詳しくはみなさんもググってみてください。 とにかく深刻なセキュリティホールなようなので、すぐにでも対応した方が良さそうです。
【重要】 Movable Type 新バージョンとパッチの提供について

- 2006.09.27 追記 -

とりあえず、今回のアップグレードは新たにインストールしなくてすみそうです。 わたしは上記URLで記載された、変更されたファイルのみ更新して済ませました

 Trackback Pings(2)

from magnet :..

MovableTypeにてクロスサイトスクリプティングによる脆弱性が確認されたた...

Tracked on September 27, 2006
from hakuro.info blog

シックスアパート社は、ブログツールMovable Typeにおいて「クロスサイトスクリプティング」という脆弱性がみつかり、対策を施したバージョン(3.3...

Tracked on September 27, 2006

 Comments(14)

#1: Posted by magnet @ September 27, 2006 [REPLY]
user-pic

こんばんは^^ おひさしぶりです。突然のリリースでびっくりしました。
こんな時間に気がついたので・・明日アップグレードしたいと思ってます。
TBさせていただきました。またよろしくお願いします^^

 
#2: Posted by bzbell @ September 27, 2006 [REPLY]
user-pic

>>1 magnet さん

こんにちわ^^

そうですね。
わたしも昨日眠い中、差分ファイルだけUPして、一応再構築しときました( ̄∇ ̄)v

 
#3: Posted by Author Profile Page ゆにっく @ September 27, 2006 [REPLY]
user-pic

こんちはー。(^-^)

昨日慌てて3.33にアップグレードしました。「セキュリティの脆弱性」と聞いたもので。Windowsでも毎月パッチがリリースされますけど、あれだって速攻でパッチを当てますから。(笑)

個人情報を盗まれるってのはやっぱり気持ち悪い。3.33にして完全に防げるんかなー???それと、バージョンアップはこれで最後にして欲しいです。

それと、トラックバックしたいんですけど、403Throttledというのが出てここにトラックバックできません。(T0T)僕の方はどういう風に対応したらええんでしょうか?

 
#4: Posted by oscar @ September 27, 2006 [REPLY]
user-pic

こんにちは、bzbellさん。
最近エントリーを上げてないのは、なんか大物導入のテスト中かナ?

質問なんだけど、「TrimX2Yプラグイン」って動作してます?
確か使ってましたよね・・・

私のところ、いきなり無効になっちゃいました。
再構築後にびっくり・・・

 
#5: Posted by bzbell @ September 27, 2006 [REPLY]
user-pic

みなさん、こんにちわ^^
ご無沙汰しております。

>>3 ゆにっく さん

わたしも昨日眠いの我慢してUPしました。
わたし個人だけの被害ならまだしも、訪問者さんにも影響があるとのことだったので、すぐUPしました。

機能的な不具合はしょうがないとは思いますが、今回のようなセキュリティ・ホールに関するUPは、これを最後にして欲しいですね(*^。^*)

> それと、トラックバックしたいんですけど、403Throttledというのが出てここにトラックバックできません。(T0T)僕の方はどういう風に対応したらええんでしょうか?

えぇ!?Σ( ̄Д ̄;) 確かそのエラーってわたしの方で拒否した時に表示されるものだったような…。 わたし別に何もしてない…とは言い切れないけど(; ̄- ̄)
  • 1日( or 1時間 )内のトラバ数の上限を設定してます。
  • 同一IPからの重複トラバは弾いてます。
などが考えられますが、家帰ったら見てみます。 MT3.33の影響ではありませんように…。

>>4 oscar さん

> 最近エントリーを上げてないのは、なんか大物導入のテスト中かナ?

いえいえ(汗)
実は今更ながらハリー・ポッターの最新刊( ハリー・ポッターと謎のプリンス )を読んでる最中で、記事滞っちゃってます。
わたしは読むのも遅いもので(; ̄- ̄)はは
でも、みなさんのブログはチェックしてますよ♪

> 質問なんだけど、「TrimX2Yプラグイン」って動作してます?

oscarさんの記事に言われてましたね。今は代替プラグインにしているようで…。
わたしの方ではトリミングされてますよ。
特に問題なさそうですけど( ̄∇ ̄;)
つか、oscarさん、いろいろカスタマイズしまくってるから、何らかのプラグイン、Ajax関連のJSが影響してるってことはないでしょうか。

以前、わたしそんなことありました( ̄∇ ̄)b
パッとみ間違ってないので、相互干渉してたらしく、1つ1つ地道につぶしていきました(つω-`。)とほほ

 
#6: Posted by oscar @ September 27, 2006 [REPLY]
user-pic

>わたしの方ではトリミングされてますよ。
やっぱりそうですか。

実は、Perlのライブラリ大分入れ替えたりしてるんで、そこら辺って気もしてます。使いそうもないプラグイン試してみたりして・・・

現在メールフォームをwindow.jsでポップアップするよう改造中です。
Lightbox風にポップアップする部分までは出来てます。完成すれば、さらにAjaxっぽくなりますよ。

 
#7: Posted by bzbell @ September 27, 2006 [REPLY]
user-pic

>>6 oscar さん

> 使いそうもないプラグイン試してみたりして・・・

わたしもそれではまりました!!
使ってみないことには分かりませんもんね( ̄∇ ̄)b

> 現在メールフォームをwindow.jsでポップアップするよう改造中です。

既にチェック済みです( ̄∇ ̄)v
カッコ良かったです♪ いいかんじでした♪
わたしのPOSTは届きましたかぁ(*^。^*)

 
#8: Posted by Author Profile Page ゆにっく @ September 27, 2006 [REPLY]
user-pic

こんばんはー。ついさっきまで、mt-config.cgiをいじっていました。(笑)TimePingoutを20→60に変更して、OneHourMaxPings 10 → 50
OneDayMaxPings 50 → 250を新たに設定したら、とりあえずsix apartの方にはトラックバック打てました。six apartにトラバ反映されたの、これが初めてなんです。もっと早くやれば良かったです。

この記事にもたぶんトラバ送れてると思います。(^-^)ご迷惑をおかけしました。やはりこっちの問題でした。MTは色々勉強になるねー、ほんま。(^^;)

 
#9: Posted by bzbell @ September 27, 2006 [REPLY]
user-pic

>>8 ゆにっく さん

> この記事にもたぶんトラバ送れてると思います。(^-^)

はい。来てますよ( ̄∇ ̄)/
わたしも今見てたところだったんですけど、わたし悪くない(´・д・`)…って思ってたところだったんです。

でも…トラバのタイムアウトってそんなメッセージ内容じゃなかったですよ。
「HTTP error: 500 read timeout」って表示されてましたよ。

"Throttled"って言われてるので、てっきりわたしの方が弾いたのかと思いました( ̄∇ ̄;)ほっ

 
#10: Posted by Author Profile Page ゆにっく @ September 27, 2006 [REPLY]
user-pic

『「http://bizcaz.com/mt/mt-tb.cgi/245」へのトラックバックは失敗しました: HTTP error: 403 Throttled』

と、ここにトラックバックした時のログです。500の方は出てません。(^^;)なんかややこしー。(笑)ま、どっちにしたってトラックバック送れたんやら解決、解決♪

 
#11: Posted by ぷーこ @ September 28, 2006 [REPLY]
user-pic

こんにちは♪
私はロリポップユーザーなんですが、
ロリポからわざわざこの件に関するメールを頂いて
さっそくバージョンアップ(;^_^A アセアセ・・・
でも最近のMTってなかなか落ち着かないですよね。
これで暫くは落ち着くのかな?困ったものです(-_-;

 
#12: Posted by bzbell @ September 28, 2006 [REPLY]
user-pic

>>11 ぷーこ さん

そういえば、わたしのとこにもお知らせメル来てたなぁ( ´・ω・`)

> でも最近のMTってなかなか落ち着かないですよね。

ですね。
MT3.2より前のバージョンを使ってるブログもチラホラみかけるので、そういうサイトさんは大変でしょうね( ´・ω・`)
だって大きく違ってるわけだしね。

修正パッチがでてるからそうでもないのかな…。
どちらにしても、そろそろ落ち着いて欲しいですね(; ̄∇ ̄A

 
#13: Posted by Reiko @ September 30, 2006 [REPLY]
user-pic

bzbellさん、こんばんは〜

今回のMTのクロスサイトスクリプティングによる脆弱性〜

もう、びっくりでした。
クロスサイトスクリプティングによる脆弱性の意味がわからなかったのですが、
アップしなければ、、、
気が付いたのが昨日の夜遅く

やっと今日、3.33にアップ

3.2以前のバージョンは大丈夫なのかななんて思ったりして、、、

トラバの、403エラーは、わたしもおきました。

相互トラバしたのですが、お互いできなくって、
その方が、調べてくれて、TimePingoutなどの設定で解決しました。(^^
よくわかりませんが、ほかにも方法があるかもしれませんが。

MTは、わたしには少し難しい!!
でも、勉強になりますです。はい

 
#14: Posted by bzbell @ September 30, 2006 [REPLY]
user-pic

>>13 Reiko さん

こんにちわ^^

> クロスサイトスクリプティングによる脆弱性の意味がわからなかったのですが、
> アップしなければ、、、

わたしも始めて聞いたので、ググってみるまで知りませんでした(; ̄- ̄)はは

> その方が、調べてくれて、TimePingoutなどの設定で解決しました。(^^

みたいですね。
MT3.33にしたからなのか分からないけど、メッセージ変わりましたよね!?
てっきりトラバの制限を入れていたわたしの方かと思ってました(>∀< )

> MTは、わたしには少し難しい!!

大丈夫ですよ( ̄∇ ̄)b
ReikoさんPHP化したり、カスタマイズしたりなど前向きにやってるじゃないですか♪
わたしもReikoさんのように前向きにがんばってますo( ̄∀ ̄)o
分からないことはお互い助け合えたらいいですね♪

 

 Post a Comment

 

コメント用フィード