Movable Type5.11/5.051で何かが修正 (詳細不明)
2011年6月9日(木曜日)
Movable Type5.11/5.051で何かが修正 (詳細不明)
公開: 2011年6月18日15時45分頃
MTにまたセキュリティアップデートが登場しているようで。
- [重要] Movable Type 5.11 および、5.051、4.291 セキュリティーアップデートの提供を開始 (www.movabletype.jp)
ついこの前アップデートが出たばかりなのですが、別件のようですね。
Movable Type 4.29、4.36 および 5.1、5.05 を含む以前のバージョンでは、当該製品で管理している情報を、アプリケーション上の一部の操作において、遠隔の第三者により更新、閲覧、変更される可能性があります。
以上、セキュリティアップデートの概要 より
例によって詳細が良く分かりません。この書き方だと能動的攻撃を受けるように思えますので、「情報を……遠隔の第三者により更新、閲覧、変更される」というのは相当まずいように思います。ただ、その「情報」がいったい何なのかによって深刻さが全く違います。
たとえば、仮にこれが「コメント欄に入力されたコメントを更新、閲覧、変更される」という問題だったなら、コメント欄を使用していないブログは影響を受けないことになります。アップデートが必須なのかどうかを判断するためには、「今の使い方で問題の影響を受けるのかどうか」を知りたいわけです。その判断に必要な情報が出てこないのは厳しいですね。
リリースノート (www.movabletype.jp)を見ても、はっきりとは分かりません。「新たに実装された機能」があったりするようですが……。
DeniedAssetFileExtensions が新しく追加されました。
AssetFileExtensions が、Movable Type 4.291 と 4.361に追加されました。(Movable Type 5.01 以降のバージョンには、すでに実装されています。)
これらの環境変数をmt-config.cgiに記述すると、ユーザーのファイル・アップロード時のチェックに利用されます。コンマ区切りのリストで、ファイルの拡張子を指定します。正規表現を使用することも可能です。
特定の拡張子のファイルをアップロードできないようにする機能のようですが、この機能は今回新たについたのでしょうか、それとも、以前から機能はあって、設定が変更できるようになっただけなのでしょうか。そして、この機能はセキュリティ修正と関係があるのでしょうか、それともないのでしょうか。
まあ、MTはPerlで書かれていますのでソースを読めば分かるのですが、そんな時間を取れるのかが問題です。
- 「Movable Type5.11/5.051で何かが修正 (詳細不明)」にコメントを書く
関連する話題: セキュリティ / Movable Type
- 前(古い): 虐殺器官
- 次(新しい): 何が夢で何が現実なのか
