2010年12月9日(木曜日)
Movable TypeのSQLインジェクション
公開: 2010年12月12日20時10分頃
Movable Typeに脆弱性だそうで、アップデートが提供されています。
- 「Movable Type」におけるセキュリティ上の弱点(脆弱性)の注意喚起 (www.ipa.go.jp)
- [重要] セキュリティアップデート Movable Type 5.04 および 4.28の提供を開始 (www.sixapart.jp)
XSSは良くありましたが、SQLインジェクションとは珍しいですね。「「Movable Type」におけるセキュリティ上の弱点(脆弱性)の注意喚起 (www.ipa.go.jp)」によると、本件はベンダー自ら報告したもののようで。
本脆弱性情報は、2010年12月2日にIPAが製品開発者自身から脆弱性および対策情報の連絡を受け、JPCERT/CCが製品開発者と調整を行い、本日公表したものです。
しかしそのわりに、肝心な脆弱性に関する情報はあんまり詳しく出ていないですね。カスタマイズして導入しているケースもありますので、影響範囲や攻撃が成立する条件、回避策の有無くらいは公表してほしいところなのですが……。まあ、ソースコードを調べれば分かるといえば分かるのですけどね。
※しかしめんどくさい。
- 「Movable TypeのSQLインジェクション」にコメントを書く
関連する話題: セキュリティ / Movable Type
進撃の巨人 3
公開: 2010年12月12日2時0分頃
3巻が出たので購入。
- 進撃の巨人 3 (www.amazon.co.jp)
「人類にとっての大きな進撃」が始まる……と思いきや、いきなりピンチとか。またしても続きが気になる終わり方ですね。
- 前(古い): 2010年12月8日(Wednesday)のえび日記
- 次(新しい): 2010年12月10日(Friday)のえび日記
