Movable Type CMSプラットフォーム Movable Type
ドキュメントサイト

Blogブログ

重要: Movable Type 4.2 RC5 とセキュリティアップデートの提供を開始

セキュリティアップデート (旧バージョン) 正式版の提供を開始しました。

Movable Type ユーザーの皆様

Movable Type においてクロスサイトスクリプティングによる脆弱性が確認されました。この問題に対処するため、Movable Type の修正バージョンを公開いたします。脆弱性の修正バージョンとなりますので、対応するバージョンへのアップデートを 強く推奨 いたします。

影響のあるバージョン

  • Movable Type 4
  • Movable Type 3
  • Movable Type Enterprise
  • Movable Type Community Solution

脆弱性の内容

Movable Type の特定の機能に関して、以下の脆弱性が存在します。

  • アプリケーションの一部において、適切に入力エスケープされないため、クロスサイトスクリプティングが発生しうる
  • 特定の古いブラウザにおいて、文字エンコーディングが正しく処理されないため、アプリケーションの一部においてクロスサイトスクリプティングが発生しうる
  • アプリケーションの一部において、CSRF (クロスサイトリクエストフォージェリ) が発生しうる

これらの脆弱性への対処をおこなった修正版を、Movable Type の各バージョンに対して提供します。

修正版の提供

Movable Type の以下のバージョンを、修正版として公開します。なお、このパッケージは今回の脆弱性の修正を対象としたテストのみが実施されたホットリリースです。プログラム全体をテストする回帰テストが完了した正式版は、今後順次、公開いたします。Movable Type 4.2 正式版につきましては、1週間程度、その他の過去のバージョンに関しましては、3週間以内に公開する予定です。お手数をおかけして申し訳ございませんが、ホットリリースへのアップデート後、テスト完了版が公開された際には、再度のアップデートをお願いいたします。

  • Movable Type 4.2 RC5
  • Movable Type Open Source 4.2 RC5
  • Movable Type 4.14
  • Movable Type Open Source 4.14
  • Movable Type Enterprise 4.14
  • Movable Type コミュニティ・ソリューション 4.04
  • Movable Type Enterprise 1.55
  • Movable Type 3.37

正式版を公開しました、ユーザーサイト、ダウンロードサイトよりダウンロードしてください。

アップデート対応表

現在ご利用中のバージョンによって、アップグレードするパッケージは異なります。表を参考に対応するバージョンをダウンロードしてください。

Movable Type セキュリティアップデート対応表
ご利用中のバージョン アップデートするバージョン
MT/MTOS4.0 または 4.1 MT4.14
MTOS4.14
MT/MTOS4.2 Beta または 4.2 RC MTOS4.2 RC
MT3.x MT3.37
MT Enterprise 4 MT Enterprise 4.14
MT Enterprise 1.5 MT Enterprise 1.55
MT コミュニティ・ソリューション MT コミュニティ・ソリューション 4.04

正式版を公開しました、ユーザーサイト、ダウンロードサイトよりダウンロードしてください。

アップグレードガイド

各バージョンへのアップグレードは、アップグレードガイドを参考にしてください。

  • このエントリーをはてなブックマークに追加