ムーバブルタイプ(MovableType)

Movable Type 4.24 に脆弱性があった、最新版の Movable Type 4.25 にアップグレードした後にグローバルテンプレートの初期化をすれば問題解決

この記事は約2分で読めます。

Mt_upg_425
Movable Type 4.24 においてクロスサイトスクリプティングによる脆弱性が確認された。問題解決の方法は最新版の Movable Type 4.25 で解決されている。新規に4.25を導入する場合はそれだけでOK。ただし、商用版の
Movable Typeを4.24から4.25にアップグレードした場合は、アップグレードしただけではだめで、グローバルテンプレートの初期化をしなければならない。
なおMTOSの場合は、4.24から4.25にバージョンアップするだけでよい。バージョンアップがまだの方は、この機会にアップグレードしておこう。

Movable Type 4.24 の脆弱性に関する情報は「Movable Type 4.24 でのセキュリティ上の問題について」で紹介されている。以下は引用です。

対象となるバージョン

  • Movable Type 4.24 (Professional Pack, Community Pack を同梱)
  • Movable Type Commercial 4.24 (Professional Pack を同梱)
  • Movable Type 4.24 Enterprise
  • Movable Type 4.24 (Open Source)
  • Movable Type 4.24 (Professional Pack, Community Pack を同梱), Movable Type 4.24 Enterprise から Movable Type 4.25 へアップグレードした環境

確認された問題

アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、クロスサイトスクリプティングが発生しうる。

修正版の提供

本問題は、現在提供中の Movable Type 4.25 で解決されています

Movable Type 4.25 へアップグレード後、グローバルテンプレートの初期化を行ってください。

グローバルテンプレートの初期化は、以下のパッケージをご利用の場合に限ります。

  • Movable Type (Professional Pack, Community Pack を同梱)
  • Movable Type Enterprise

上記以外のパッケージをご利用の場合は、4.25 にアップグレードするだけでかまいません。