movabletype.jp
検索

Movable Type 4.24 でのセキュリティ上の問題について

Movable Type ユーザーの皆様

Movable Type 4.24 においてクロスサイトスクリプティングによる脆弱性が確認されました。当問題は最新版である Movable Type 4.25 で解決済です。アップグレード後、グローバルテンプレートの初期化を強く推奨します。

対象となるバージョン

  • Movable Type 4.24 (Professional Pack, Community Pack を同梱)
  • Movable Type Commercial 4.24 (Professional Pack を同梱)
  • Movable Type 4.24 Enterprise
  • Movable Type 4.24 (Open Source)
  • Movable Type 4.24 (Professional Pack, Community Pack を同梱), Movable Type 4.24 Enterprise から Movable Type 4.25 へアップグレードした環境

確認された問題

アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、クロスサイトスクリプティングが発生しうる。

修正版の提供

本問題は、現在提供中の Movable Type 4.25 で解決されています

Movable Type 4.25 へアップグレード後、グローバルテンプレートの初期化を行ってください。

グローバルテンプレートの初期化は、以下のパッケージをご利用の場合に限ります。

  • Movable Type (Professional Pack, Community Pack を同梱)
  • Movable Type Enterprise

上記以外のパッケージをご利用の場合は、4.25 にアップグレードするだけでかまいません。

  1. システムメニューから [グローバルテンプレート] を選択します。または、システムダッシュボードのメニューから [デザイン] > [テンプレート] を選択し、グローバルテンプレートの一覧画面に移動します。
    グローバルテンプレート一覧へ
  2. グローバルテンプレート一覧ページのサイドバーにある [アクション] から [グローバルテンプレートを初期化] をクリックします。
    システムテンプレートを初期化
  3. [グローバルテンプレートを初期化] のラジオボタンがオンになっていることと、[既存のテンプレートのバックアップを作成する] チェックボックスにチェックの入っていることを確認し [次へ] をクリックします。
    テンプレート初期化設定
  4. 初期化の詳細を確認する画面に移動しますので、以下のようになっているか確認し、問題無ければ [確認] ボタンをクリックします。
    • テンプレートのバックアップを作成します。バックアップにはクイックフィルタからアクセスできます。
    • (もしあれば)新しいテンプレートをインストールします。
    • 既存のテンプレートを新しいテンプレートで置き換えます。
    テンプレート初期化設定確認

アップグレードの手順については、アップグレードガイドを参照ください。

シェアする

トラックバック