Movable Type 4.24 においてクロスサイトスクリプティングによる脆弱性が確認された。問題解決の方法は最新版の Movable Type 4.25 で解決されている。新規に4.25を導入する場合はそれだけでOK。ただし、商用版の
Movable Typeを4.24から4.25にアップグレードした場合は、アップグレードしただけではだめで、グローバルテンプレートの初期化をしなければならない。
なおMTOSの場合は、4.24から4.25にバージョンアップするだけでよい。バージョンアップがまだの方は、この機会にアップグレードしておこう。
Movable Type 4.24 の脆弱性に関する情報は「Movable Type 4.24 でのセキュリティ上の問題について」で紹介されている。以下は引用です。
対象となるバージョン
- Movable Type 4.24 (Professional Pack, Community Pack を同梱)
- Movable Type Commercial 4.24 (Professional Pack を同梱)
- Movable Type 4.24 Enterprise
- Movable Type 4.24 (Open Source)
- Movable Type 4.24 (Professional Pack, Community Pack を同梱), Movable Type 4.24 Enterprise から Movable Type 4.25 へアップグレードした環境
確認された問題
アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、クロスサイトスクリプティングが発生しうる。
修正版の提供
本問題は、現在提供中の Movable Type 4.25 で解決されています。
Movable Type 4.25 へアップグレード後、グローバルテンプレートの初期化を行ってください。
グローバルテンプレートの初期化は、以下のパッケージをご利用の場合に限ります。
- Movable Type (Professional Pack, Community Pack を同梱)
- Movable Type Enterprise
上記以外のパッケージをご利用の場合は、4.25 にアップグレードするだけでかまいません。
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
