Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。
おおっと。
まぁ最近は珍しくないとはいえ、面倒だなぁ。
しかも、
Movable Type 3.2-ja-2 以前のバージョンをお使いのお客様へ:
脆弱性回避のために、速やかにMovable Type 3.33へアップグレードしていただくよう、お願いいたします。
おおっと!
マジか!
と思ったけど、先走りすぎで、
ただし、今回の問題の緊急性と重要性を考慮して、速やかにバージョンアップできない方を対象に、9/26 11:15よりバージョン3.2用のパッチをご提供する予定です。
というわけで、パッチが公開されてます。
ちなみに、問題がある(修正されている)のは、
下記6ファイルだそうです。
lib/MT.pm
lib/MT/App.pm
lib/MT/Sanitize.pm
lib/MT/App/CMS.pm
php/mt.php
php/lib/sanitize_lib.php
面倒だけど、さすがにここまで緊急な告知をされちゃっては、
適用せざるを得ないなぁ。
するか。
皆さんもご一緒にどうぞ。
追記)
ちなみに、パッチと言っても、
ファイルをダウンロードして解凍すると、
修正後のファイルが出てくる(libフォルダとphpフォルダ)ので、
それをそのまま、MovableTypeのインストールディレクトリに突っ込むだけです。
簡単。
ファイルをダウンロードして解凍すると、
修正後のファイルが出てくる(libフォルダとphpフォルダ)ので、
それをそのまま、MovableTypeのインストールディレクトリに突っ込むだけです。
簡単。