水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Movable Typeまたまたアップデート (詳細不明)

Movable Typeまたまたアップデート (詳細不明)

2011年6月23日(木曜日)

Movable Typeまたまたアップデート (詳細不明)

公開: 2011年7月3日10時25分頃

MTにまたまたセキュリティアップデートが登場しているようで。

5月26日6月9日に引き続いてのセキュリティ修正。ずいぶん立て続けですね。

Movable Type 4.291、4.361 および 5.11、5.051 を含む以前のバージョンでは、アプリケーション上の一部の操作において、ブログの管理者、あるいは投稿権限を持っているユーザーが、ファイルシステム上の既知のファイルへのアクセスが可能になる場合があります。

例によって詳細がよくわからない書き方ですね。「投稿権限を持っているユーザー」というのはブログ記事を投稿できるユーザーなのか、ブログにコメントを投稿できるユーザーなのか……。

りゅうさん (rryu.sakura.ne.jp)が軽く調査したところではXML関係の修正が入っているそうで、ローカルファイルを外部実体として宣言してから実体参照で参照すると読めてしまうという話かもしれない、という説があります。

※公式な情報ではなく、あくまで一説にすぎませんが。

関連する話題: セキュリティ / Movable Type

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングDreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト