2011年6月23日(木曜日)
Movable Typeまたまたアップデート (詳細不明)
公開: 2011年7月3日10時25分頃
MTにまたまたセキュリティアップデートが登場しているようで。
- [重要] Movable Type 5.12 および、5.06、4.292 セキュリティーアップデートの提供を開始 (www.sixapart.jp)
5月26日、6月9日に引き続いてのセキュリティ修正。ずいぶん立て続けですね。
Movable Type 4.291、4.361 および 5.11、5.051 を含む以前のバージョンでは、アプリケーション上の一部の操作において、ブログの管理者、あるいは投稿権限を持っているユーザーが、ファイルシステム上の既知のファイルへのアクセスが可能になる場合があります。
例によって詳細がよくわからない書き方ですね。「投稿権限を持っているユーザー」というのはブログ記事を投稿できるユーザーなのか、ブログにコメントを投稿できるユーザーなのか……。
りゅうさん (rryu.sakura.ne.jp)が軽く調査したところではXML関係の修正が入っているそうで、ローカルファイルを外部実体として宣言してから実体参照で参照すると読めてしまうという話かもしれない、という説があります。
※公式な情報ではなく、あくまで一説にすぎませんが。
- 「Movable Typeまたまたアップデート (詳細不明)」にコメントを書く
関連する話題: セキュリティ / Movable Type
- 前(古い): 2011年6月22日(Wednesday)のえび日記
- 次(新しい): 2011年6月24日(Friday)のえび日記
