Movable Typeセキュリティーアップデートの提供を開始

2012年2月22日Movable Type

今回は早めのアップデートを行ってみた。

内容は、

  • Movable Type の mt-wizard.cgi および同梱されているテンプレートの一部に、クロスサイトスクリプティングの脆弱性が存在します。ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。Trustwave 社よりレポート(TWSL2012-002)。
  • コメント登録およびコミュニティ機能に、セッションハイジャックが可能となる脆弱性が存在します。特定の条件において、遠隔の第三者によって、ユーザになりすまされる可能性があります。
  • コメント登録およびコミュニティ機能に、クロスサイトリクエストフォージェリの脆弱性が存在します。ユーザが、当該製品にログインした状態で悪意あるページを読み込んだ場合、設定を変更されたり、データを更新されたり、情報を閲覧されたりする可能性があります。
  • Movable Type のファイル管理システムには、OS コマンドインジェクションの脆弱性が存在します。管理画面にログインすることができ、かつファイルアップロードの権限を持つユーザによって、任意の OS コマンドを実行される可能性があります。

との事なので、と言いながらいつもなら先延ばしすることろですが、どうせ上書きで終わりだろうと、ファイルをアップロード。

何事もなくアップデート完了。

問題は再構築だな。PHP & モジュール化を行っているにも関わらずインデックスページだけで36秒とか何かおかしいだろう。同居している他人様がリソースを食いつぶしているとしか思えない重さ。

そろそろ本気モードで自宅サーバーへ移行しようかな。他のは稼働しているわけだし、そんなにPVがあるわけじゃないしね。仮想マシンが1つ位増えても電気代は誤差範囲だろうしな。

その前にレンタルなメールサーバー探さないといけないか。トホホ

Posted by かふぇおれ