本日Movable Type 3.35日本語版 (以下3.35-ja) の提供が開始された。
修正点は3.34以降に発見されたセキュリティ上の不具合への対応と、インストールの簡略化という。
3.34から3.35の変更点
インストール作業の簡略化
mt.cgiにアクセスしたときに構成ファイルが用意されていない場合、自動的にmt-wizard.cgiにリダイレクトされるようになりました。
コメント・プレビューでクロスサイトスクリプティングを許す脆弱性
コメント・プレビュー画面でスクリプト実行を許す脆弱性がありました。この不具合を修正しました。
convert-dbおよびmt-db2sql.cgiで文字化けする可能性
convert-dbおよびmt-db2sql.cgiで別のデータベースに移行すると移行先のデータが文字化けする可能性がありました。この不具合を修正しました。
MTDateタグでutc属性を利用すると夏時間の間に不正な日付が出力される
MTDateタグでutc属性を利用すると夏時間の間に不正な日付が出力される不具合がありましたが修正しました。
テンプレートの名前カラムのサイズを拡張
テンプレートの名前カラムのサイズを拡張しました。これに伴い、データベーススキーマが更新されました。
セキュリティ上の不具合はMovableTypeのバージョンをアップする以外にテンプレートを手動で修正しなくてはならないらしい。
手動での修正について
テンプレートの修正
今回のスクリプト実行を許す脆弱性の修正は、テンプレートに対して行われています。そのため、ソフトウェアをアップデートするだけでは、修正が適用されません。お客様の環境で、以下の手順でテンプレートを手動修正していただく必要があります。
1. ブログのメニューで「テンプレート」をクリックする。テンプレート一覧が表示される。
2. 「システム」タブをクリックする。
3. 「コメント・プレビュー」テンプレートをクリックして表示する。
4. 以下のHTMLおよびテンプレートタグを探して、<input id=”comment-author” name=”author” size=”30″ value=”<$MTCommentPreviewAuthor$>” />
<input id=”comment-email” name=”email” size=”30″ value=”<$MTCommentPreviewEmail$>” />
<input id=”comment-url” name=”url” size=”30″ value=”<$MTCommentPreviewURL$>” />それぞれのテンプレートタグ(<$MTCommentPreview●●●$>)に、「encode_html=”1″」属性を追加する。追加後のHTMLおよびテンプレートタグはそれぞれ以下のようになる。「encode_html=”1″」を追加する場所に注意する。
<input id=”comment-author” name=”author” size=”30″ value=”<$MTCommentPreviewAuthor encode_html=”1″$>” />
<input id=”comment-email” name=”email” size=”30″ value=”<$MTCommentPreviewEmail encode_html=”1″$>” />
<input id=”comment-url” name=”url” size=”30″ value=”<$MTCommentPreviewURL encode_html=”1″$>” />既知の問題点
index.htmlのヘルプリンクに不要なスラッシュがついている
Movable Typeを解凍したディレクトリの直下にあるindex.html中に含まれる、オンライン・ヘルプへのリンク先の最後に不要なスラッシュが着いています。動作に支障はありません。
まだここのシステムは3.3.3のままで、3.3.4にすらしていない・・・orz
これを機に一気にバージョンを上げてゆくか、GWが有効に利用できれば良いんだけど。
コメント