水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Movable TypeのSQLインジェクション

Movable TypeのSQLインジェクション

2010年12月9日(木曜日)

Movable TypeのSQLインジェクション

公開: 2010年12月12日20時10分頃

Movable Typeに脆弱性だそうで、アップデートが提供されています。

XSSは良くありましたが、SQLインジェクションとは珍しいですね。「「Movable Type」におけるセキュリティ上の弱点(脆弱性)の注意喚起 (www.ipa.go.jp)」によると、本件はベンダー自ら報告したもののようで。

本脆弱性情報は、2010年12月2日にIPAが製品開発者自身から脆弱性および対策情報の連絡を受け、JPCERT/CCが製品開発者と調整を行い、本日公表したものです。

しかしそのわりに、肝心な脆弱性に関する情報はあんまり詳しく出ていないですね。カスタマイズして導入しているケースもありますので、影響範囲や攻撃が成立する条件、回避策の有無くらいは公表してほしいところなのですが……。まあ、ソースコードを調べれば分かるといえば分かるのですけどね。

※しかしめんどくさい。

関連する話題: セキュリティ / Movable Type

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト