4.29、4.36、5.05 リリースノート
最終更新日: 2017.10.06
Movable Type 4.29、4.36および Movable Type 5.05 は、セキュリティーアップデートです。
セキュリティアップデートの概要
Movable Type 5.04 および 4.35、4.28 を含む以前のバージョンでは、アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、クロスサイトスクリプティング(XSS)および クロスサイトリクエストフォージェリ(CSRF)が発生する可能性があります。
想定される影響
遠隔の第三者により、当該製品で管理している情報を閲覧されたり、変更されたりする可能性があります。また、遠隔の第三者が特定の操作をおこなうことで、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
影響を受けるバージョン
以下の各製品の、5.04 および 4.28 を含む以前のバージョン。
- Movable Type Open Source 4.x
- Movable Type Open Source 5.x
- Movable Type 4.x (Professional Pack, Community Pack を同梱)
- Movable Type 5.x (Professional Pack, Community Pack を同梱)
- Movable Type Enterprise 4.x
- Movable Type Advanced 5.x
バージョンの確認方法
Movable Type の管理画面に、システム管理者としてサインインし、システムメニューから『ツール』> 『システム情報』を選択して、Movable Type のバージョンを確認してください。
提供を開始するバージョン
問題の対象となるバージョンをお使いの場合は、2011年5月25日に公開された、以下の修正済みのバージョンのいずれかにアップグレードしてください。
- Movable Type Open Source 4.29
- Movable Type Open Source 4.36
- Movable Type Open Source 5.05
- Movable Type Open Source 5.1
- Movable Type 4.29 (Professional Pack, Community Pack を同梱)
- Movable Type 5.05 (Professional Pack, Community Pack を同梱)
- Movable Type 5.1 (Professional Pack, Community Pack を同梱)
- Movable Type Enterprise 4.29
- Movable Type Advanced 5.05
- Movable Type Advanced 5.1
以下のページよりダウンロード可能です。
- Movable Type ライセンスをお持ちの方
- 個人ライセンスでお使いの方
- オープンソース版をお使いの方
本脆弱性に関するレポートをいただいた、Alfasado Inc.、Eldar Marcussen氏、および他の報告者の方の、ご協力に感謝いたします。