水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Movable Type5.11/5.051で何かが修正 (詳細不明)

Movable Type5.11/5.051で何かが修正 (詳細不明)

2011年6月9日(木曜日)

Movable Type5.11/5.051で何かが修正 (詳細不明)

公開: 2011年6月18日15時45分頃

MTにまたセキュリティアップデートが登場しているようで。

ついこの前アップデートが出たばかりなのですが、別件のようですね。

Movable Type 4.29、4.36 および 5.1、5.05 を含む以前のバージョンでは、当該製品で管理している情報を、アプリケーション上の一部の操作において、遠隔の第三者により更新、閲覧、変更される可能性があります。

以上、セキュリティアップデートの概要 より

例によって詳細が良く分かりません。この書き方だと能動的攻撃を受けるように思えますので、「情報を……遠隔の第三者により更新、閲覧、変更される」というのは相当まずいように思います。ただ、その「情報」がいったい何なのかによって深刻さが全く違います。

たとえば、仮にこれが「コメント欄に入力されたコメントを更新、閲覧、変更される」という問題だったなら、コメント欄を使用していないブログは影響を受けないことになります。アップデートが必須なのかどうかを判断するためには、「今の使い方で問題の影響を受けるのかどうか」を知りたいわけです。その判断に必要な情報が出てこないのは厳しいですね。

リリースノート (www.movabletype.jp)を見ても、はっきりとは分かりません。「新たに実装された機能」があったりするようですが……。

DeniedAssetFileExtensions が新しく追加されました。

AssetFileExtensions が、Movable Type 4.291 と 4.361に追加されました。(Movable Type 5.01 以降のバージョンには、すでに実装されています。)

これらの環境変数をmt-config.cgiに記述すると、ユーザーのファイル・アップロード時のチェックに利用されます。コンマ区切りのリストで、ファイルの拡張子を指定します。正規表現を使用することも可能です。

以上、5.11、5.051、4.361、4.291 リリースノート より

特定の拡張子のファイルをアップロードできないようにする機能のようですが、この機能は今回新たについたのでしょうか、それとも、以前から機能はあって、設定が変更できるようになっただけなのでしょうか。そして、この機能はセキュリティ修正と関係があるのでしょうか、それともないのでしょうか。

まあ、MTはPerlで書かれていますのでソースを読めば分かるのですが、そんな時間を取れるのかが問題です。

関連する話題: セキュリティ / Movable Type

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト