[重要] Movable Type 5.13 および、5.07、4.38 セキュリティーアップデートの提供を開始

Jun Kaneko 2012年2月22日

Movable Type 4 および Movable Type 5 で確認された複数のセキュリティ問題の修正バージョンとして、Movable Type 4.38、5.07、5.13の提供を開始いたします。これらの脆弱性は、シックス・アパート株式会社による内部的なセキュリティレビューの結果、発見された問題点です。すべてのMovable Typeユーザーは、修正版に必ずアップグレードしてください。

セキュリティアップデートの概要

Movable Type 5.12 および、5.06、4.37、4.292 を含む以前のバージョンには、クロスサイト・リクエスト・フォージェリ（CSRF）、クロスサイト・スクリプティング（XSS）、OSコマンドインジェクション、セッションハイジャックの脆弱性が存在します。

想定される影響

Movable Type の mt-wizard.cgi および同梱されているテンプレートの一部に、クロスサイトスクリプティングの脆弱性が存在します。ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。Trustwave 社よりレポート(TWSL2012-002)。
コメント登録およびコミュニティ機能に、セッションハイジャックが可能となる脆弱性が存在します。特定の条件において、遠隔の第三者によって、ユーザになりすまされる可能性があります。
コメント登録およびコミュニティ機能に、クロスサイトリクエストフォージェリの脆弱性が存在します。ユーザが、当該製品にログインした状態で悪意あるページを読み込んだ場合、設定を変更されたり、データを更新されたり、情報を閲覧されたりする可能性があります。
Movable Type のファイル管理システムには、OS コマンドインジェクションの脆弱性が存在します。管理画面にログインすることができ、かつファイルアップロードの権限を持つユーザによって、任意の OS コマンドを実行される可能性があります。

影響を受けるバージョン

以下の各製品の、5.12、5.06 および 4.37、4.292 を含む以前のバージョン。

Movable Type Open Source 4.x
Movable Type Open Source 5.x
Movable Type 4.x (Professional Pack, Community Pack を同梱)
Movable Type 5.x (Professional Pack, Community Pack を同梱)
Movable Type Enterprise 4.x
Movable Type Advanced 5.x

バージョンの確認方法

Movable Type の管理画面に、システム管理者としてサインインし、システムメニューから『ツール』> 『システム情報』を選択して、Movable Type のバージョンを確認してください。

提供を開始するバージョン

2012年2月22日に公開された、以下の修正済みバージョンのいずれかに、必ずアップグレードしてください。

Movable Type Open Source 4.38
Movable Type Open Source 5.07
Movable Type Open Source 5.13
Movable Type 5.07 (Professional Pack, Community Pack を同梱)
Movable Type 5.13 (Professional Pack, Community Pack を同梱)
Movable Type Advanced 5.07
Movable Type Advanced 5.13

以下のページからパッケージをダウンロードしてください。

Movable Type 商用ライセンスをお持ちの方

シックス・アパートユーザーサイト

個人ライセンス、MTOSをお使いの方

アップグレード手順

パッケージをダウンロードしたら、以下のページを参考に、アップグレード作業をおこなってください。

Movable Type 5 を最新のバージョンへアップグレードする

アップグレード後に必要な作業

Movable Type 5.13、5.07、4.38では、セキュリティ問題の修正のために、ウェブサイトおよびブログのテンプレートの一部を変更しています。主な修正箇所は、ブログあるいはコミュニティ掲示板にコメントするための、ユーザー登録とログイン認証に関するテンプレートです。以下のページを参考に、ブログのテンプレートの初期化をおこなってください。

5.13、5.07、4.38 へのアップグレード後に必要な作業

テーマ制作者の方

以下のページを参考に、テンプレートをアップデートしてください。

既存テーマの修正方法

Movable Type 5.13、5.07、4.38 の変更点と新機能

Movable Type 5.13、5.07、4.38 でのバグ修正、機能変更、新機能は、以下を参照してください。

Movable Type 5.13 の新機能

Movable Type 5.13 は、以下のWebブラウザをサポートしています。

Internet Explorer 9
Firefox 最新版
Safari 最新版

セキュリティを強化するため、Movable Type 5.13に、以下の機能を追加しました。

Movable Type 5.13, 5.07, 4.38 の変更点

以上です。

ツイート

CMSプラットフォーム Movable Type
ドキュメントサイト

Blogブログ