5.02 リリースノート
Movable Type 5.02 に関するパッチリリース
Movable Type 5.02 で確認された問題に対する、修正パッチを別途配布しています。Movable Type 5.02 で、アーカイブテンプレートを公開キュー経由で公開している場合に、正しくアーカイブが公開されない問題があります。修正パッチのダウンロードと、修正方法については、以下のページをご覧ください。
Movable Type 5.02で、追加された機能と変更点
Movable Type 5.02は、5.0 および 5.01 で発見されたセキュリティ問題の修正しています。また、多数のバグ修正をおこなっております。
セキュリティに関する修正
確認された問題
アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、サインインしたユーザーが特殊な操作をおこなうと、クロスサイトスクリプティング(XSS)が発生しうる。
対象のバージョン
- Movable Type Open Source 5.0 および 5.01
- Movable Type 5.0 および 5.01 (Professional Pack, Community Pack を同梱)
問題の対象となるバージョンをお使いの場合は、以下の修正済みのバージョンにアップグレードしてください。
- Movable Type Open Source 5.02
- Movable Type 5.02 (Professional Pack, Community Pack を同梱)
インストール後の mt-check.cgi 無効化
Movable Type 5.02 以降では、インストールが完了した(mt-config.cgi が既に存在する)場合は、mt-check.cgi のURLに直接アクセスしてもシステム情報を表示しません。これはセキュリティ強化の一環です。インストール後にシステム情報を表示する場合は、以下のいずれかの方法でおこなってください。
- Movable Typeの管理画面にサインインして確認します。ナビゲーションからシステムを選択し、サイドメニューから [ツール] の [システム情報] を選択します。
- mt-check.cgi のファイル名を mt-check-unsafe.cgi に変更します。変更後、10分間は mt-check-unsafe.cgi のURLに直接アクセスして、システム情報を確認することができます。システム情報を確認した後は、mt-check-unsafe.cgi のファイル名を、元通り mt-check.cgi に再変更してください。
その他の変更点
- ウェブサイト更新pingサービス通知から、Technoratiを削除しました。103717
- ダイナミックパブリシングで、ファイルのビルド前に build_dynamic コールバック処理を追加しました 。103826
- mt-config.cgi-original に DefaultLanguage 環境変数を追記しました。 103177
- mt:Link タグに、blog_id モディファイアを追加しました。103561
- Movable Type に同梱して配布するCPANモジュールをいくつか追加しました。プラグイン開発者の方はご確認ください。
- mt-check.cgi および mt-wizard.cgi で、 Cache::File を Optional Modules に追加しました。 103891
Movable Type 5.02 の既知の問題
- mt:ArchiveTitle タグは、標準でhtmlの除去とエンコードをおこないます。htmlを出力する場合は mt:CategoryLabel タグを利用してください。103542
- 以下の場合は、更新履歴に保存されません。103600
- "ファイルへリンク" したテンプレートを編集した場合。
- XML-RPCやATOM API経由でブログ記事、ウェブページを投稿した場合。
- コミュニティーブログや掲示板で、mt-cp.cgiからブログ記事を投稿した場合。
- カテゴリー名に / が含まれている場合に、ダイナミックパブリッシングでカテゴリーアーカイブが正しく表示されない。 103952
- ブログを複製するときに、複製設定でカスタムフィールドを正しく除外できない。 103647
- "ウェブページの管理" 権限を持ってるユーザーが、ウェブページの一括編集をおこなえない。システム管理者だけが一括編集を実行できます。 103967
- mt-search.cgi で、"not"で始まる単語(例: notebook)で検索すると、検索結果が正しく表示されない。 103971
その他の既知の問題については、以下のページを参照してください。
Movable Type Advanced の既知の問題
- Microsoft SQL Server をUTF-8 で利用している場合に、ダイナミックパブリッシングが正しく動作しません。
- Microsoft SQL Server をShift-JIS で利用している場合に、特定の日本語名のファイルをアップロードできません。
- DBD::Oracle のバージョンが 1.23 の場合に、Movable Type Advanced を正しくインストールできません。バージョン 1.22 を利用してください。
- Oracle を利用している場合に、大文字/小文字せずに検索することができません。
- バックアップ対象で"すべて"を選択して、同じMovable Typeに復元した場合に、同じ名前のグループを新しく作成して権限を付与します。現状ではこの挙動は仕様となり、結果として重複したグループ名が登録されます。
- mt-check.cgi および mt-wizard.cgi で、Authen::SASL モジュールを Optional Modules に追加しました。
Movable Type 5.02 で修正された問題
テンプレートタグ
- mt:Assets タグで、include_blog と tag モディファイアを指定した場合に、正しく動作しない。 103385
- mt:AssetThumbnailURL タグで、画像の縦あるいは横が75pxの場合に、アイテムのサムネイルが正しく作成されない。102463
- mt:Authors タグで、 any_type="1" include_blogs="all" モディファイアを指定した場合に、正しく動作しない。 103655
- mt:AuthorFollowersCount タグで、ユーザーを削除した場合に、フォロー数が正しく反映されない。 103568
- mt:ArchiveLabel タグで、ユーザーの使用言語を変更すると、スタティックパブリッシングで内容が正しく出力されない。103804
- mt:ArchiveFile タグを、アーカイブテンプレートで利用した場合に、正しい値を出力しない。103698
- mt:ArchiveTitle で、ブログ記事のタイトルに「<>」が含まれる場合に、出力される日本語が文字化けする 103564
- mt:CommentAuthorLink タグで、 no_redirect="0" モディファイアを指定した場合に、正しく動作しない。 103230
- mt:Entries タグで、sort_by モディファイアを指定した場合に、アーカイブリストで正しく動作しない。98025
- mt:EntryAuthorLink タグで、type モディファイアを指定した場合に、カテゴリーアーカイブで正しいURLが表示されない。 103300
- mt:Include と mt:SetVarBlock タグで、 "append", "prepend" モディファイアを指定した場合に、正しく動作しない。 103374
- mt:WidgetSet タグの中で発生した再構築エラーが、正しく表示されない 103720
ダイナミックパブリッシング
- mt:ArchiveTypeLable タグで、アーカイブマッピングが設定されていない場合に、ダイナミックパブリッシングで内容が出力されない。
- mt:IfNonZero タグで、name モディファイアを指定した場合に、ダイナミックパブリッシングで正しく動作しない。103470
- mt:IfFolder タグが、ダイナミックパブリッシングで正しく動作しない。 103692
- mt:Pages タグで、sort_by モディファイアをダイナミックパブリッシングで利用した場合に、正しく反映されない。 80047
- mt:PageIfTagged タグが、ダイナミックパブリッシングで正しく動作しない。 101093
- ページ分割が、ダイナミックパブリッシングで正しく動作しない。 103461, 101025
- アーカイブマッピングを削除した場合に、対応するダイナミックパブリッシング用のFileinfoが正しく削除されない。 103786
- ダイナミックパブリッシングを利用する場合に、templates_c ディレクトリが正しく生成されない場合がある。 103546
テーマとテンプレート
- GlobalJavaScript テンプレートを編集後に保存できない。103471
- アーカイブマッピングで、author-display-name の表記を、author-basename に修正しました。 103749
- テーマのtheme.yamlで、ウェブサイトやブログの設定(default_prefs)を指定した場合に、正しく適用されない。 103846, 103154
- 一部のブラウザでテンプレートエディタが正しく動作しない。 103288
- 代替テンプレートで、サイト内検索の結果が正しく表示されない場合がある。 103443
- Movable Type からの通知メールで、全角ハイフン「−」と全角波型「〜」が正しく表示されない。103431
- 優先するアーカイブマッピングのチェックが入っていないテンプレートを、プレビューするとエラーが発生する。103518
- アイテムを作成、変更したときに、モジュールキャッシュが正しく更新されない。103834
- MultiBlog トリガーの設定画面で、ナビゲーションで移動後に"システム内のすべてのウェブサイトとブログ"と"ウェブサイト内のすべてのブログ"を選択できなくなる。103808
- Pico テーマで、コメントの表示順の設定が、正しく反映されない。103726
- 公開パスを変更すると、インデックステンプレートだけが自動的に再構築されてしまう。 100570
- テンプレートの編集画面で、ファイルにリンクしたテンプレートを初期化できない。103768
- 標準で付属するテーマから不要なテンプレートを削除する。103762
- 「バックアップされたテンプレート」が再構築の対象になる場合がある。 103508
- テーマをエクスポートするときに、作者名を任意の入力項目とする。 103334
ブログ記事とウェブページ
- ウェブページとアイテムの編集画面で、タグの入力補完が正しく動作しない。 103788
- アイテムを関連付けたブログ記事やウェブページを削除しても、関連付けのデータが削除されない。 103792
- 指定日投稿で複数のブログ記事を公開した場合に、カレンダーから個別ページに正しくリンクされない。100747
- リッチテキストフォーマットで編集していると、ブログ記事とウェブページの自動保存が動作しない。103285
- ブログ記事またはウェブページの投稿画面でエンターキーを押した場合に、初期状態ではプレビュー画面に遷移するようにする。ただし、特定のブラウザによっては、下書き保存される。103223
- ブログ記事の公開時間を 00:00:00 に設定した場合に、アーカイブで正しく表示されない。 103218
- ウェブページのプレビュー画面で、mt:PageBasename タグが正しく動作しない。103517
API
検索
- ウェブサイトまたはブログでユーザーを検索したときに、ユーザーとウェブサイトまたはブログとの関連を削除できるようにする。103802
- ウェブサイトでウェブページとログを検索したときに、ウェブサイト内のブログが検索対象にならない。103810
- ウェブサイトの検索画面で、ブログを検索できない。103736
- ブログを検索したときに、ブログの親ウェブサイトの情報を表示する。 103767
- ウェブサイトまたはブログでユーザー検索が正しく動作しない。 103411
- ブログ上でのブログ記事の検索結果が複数ページになるときに、代替テンプレートを設定していても利用されない場合がある。103679
- 管理画面内での検索結果を、created_on(ブログ記事とウェブページはauthored_on) の降順で表示するようにする。103484, 103730
コメント投稿とサインイン
- 管理画面内からコメントに返信する場合に、コメントが投稿された後は常にコメント一覧に遷移するようにする。 103580
- コメント設定を変更したあとに、すべてのファイルを再構築するためのリンクを表示する。 103837
- SpamLookup プラグインの設定項目を変更後に、値が正しく表示されない。103816
- AIM と yahoo.co.jp の OpenID 認証を利用してログインできない。103885
- ブログを複製した場合に、コメントの返信が複製前のブログに関連づけられてしまう。103540
- Mixi の OpenID でコメント認証した場合に、ニックネームが日本語だと正しくサインインできない。103447
- コメントを返信するときに、HTMLエスケープ記述が正しく保存されない。 103210
- コメントとトラックバックの編集画面から、アクションメニューを削除する。 103751
ウェブサイトとブログ
Professional pack と Community pack
管理画面とコア
- 管理画面の一覧画面で、ページ送りのナビゲーションが正しく動作しない場合がある。103735, 103744
- 管理画面からマニフェストファイルをアップロードした場合に、アイテムを含むバックアップを復元できない。 103317
- プライベートタグだけが指定されている場合に、ブログ記事のエクスポートでタグが含まれない。103194
- タグにダブルクオートが含まれている場合に、Blog Stats ウィジェットのリンクが正しく動作しない。103160
- Movable Type 3 からアップグレードした場合に、テンプレートを指定してテーマをエクスポートできない場合がある。03329
- 権限の付与ダイアログで、正しくユーザーを検索できない。103710
- 公開されたブログ記事上のコメント一覧で、ページ送りの表記を、昇順降順の両方で分かりやすいようにする。 103356
- Crypt::DSA がインストールされていても、mt-check.cgi で認識されない場合がある。 103394
- LWP::UserAgent がインストールされていない環境で、mt-wizard.cgiが正しく動作しない。103553
- function.mtentrycommentcount.php にPHPコードの閉じタグが無い。 100620
- Component.pm で template_paths sub で plugin_template_path を参照する。103492
- "Internal Callback" という文言が日本語に翻訳されていない。 103307
コミュニティーからのパッチ提供とバグレポート
このリリースにはMovable Typeコミュニティーから提供された、パッチ修正およびバグレポートが数多く取り込まれています。FogBugz を通じてパッチおよび、バグレポートを提供してくださったコミュニティーメンバーのお名前は以下の通りです。また、このリスト以外にもフィードバック投稿フォームからも数多くのレポートをいただいています。プライバシーポリシーに従って名前はリストされていませんが、皆様のご協力に感謝します!
FogBugz からのパッチ提供
- Taku Amano (103210, 103154, 103154, 93664)
- Hajime Fujimoto (103846)
- RVR (103307)
- Makoto Kawasaki (101025)