MTOS 5.13 のリリース
Movable Type 5.13, 5.07, 4.38 がリリースされた。
今回は4点のセキュリティ脆弱性が修正されている。
- Movable Type の mt-wizard.cgi および同梱されているテンプレートの一部に、クロスサイトスクリプティングの脆弱性が存在します。ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。Trustwave 社よりレポート(TWSL2012-002)。
- コメント登録およびコミュニティ機能に、セッションハイジャックが可能となる脆弱性が存在します。特定の条件において、遠隔の第三者によって、ユーザになりすまされる可能性があります。
- コメント登録およびコミュニティ機能に、クロスサイトリクエストフォージェリの脆弱性が存在します。ユーザが、当該製品にログインした状態で悪意あるページを読み込んだ場合、設定を変更されたり、データを更新されたり、情報を閲覧されたりする可能性があります。
- Movable Type のファイル管理システムには、OS コマンドインジェクションの脆弱性が存在します。管理画面にログインすることができ、かつファイルアップロードの権限を持つユーザによって、任意の OS コマンドを実行される可能性があります。
今回はファイルを入れ替えただけではダメで,テンプレートの初期化が必要になる。 以下をよく読んで,該当する場合は初期化作業を行う。
テンプレートを独自にカスタマイズしている場合は,ちょいと面倒な作業になるかも。 時間を作って腰をすえてやったほうがいいだろう。 私は該当するものがあまりなかったので簡単に作業が終わってしまった。 よかったよかった。