セキュリティアップデートの概要

Movable Type 4.29、4.36 および 5.1、5.05 を含む以前のバージョンでは、当該製品で管理している情報を、アプリケーション上の一部の操作において、遠隔の第三者により更新、閲覧、変更される可能性があります。

影響を受けるバージョン

以下の各製品の、5.1、5.05 および 4.36、4.29 を含む以前のバージョン。

• Movable Type Open Source 4.x
• Movable Type Open Source 5.x
• Movable Type 4.x (Professional Pack, Community Pack を同梱)
• Movable Type 5.x (Professional Pack, Community Pack を同梱)
• Movable Type Enterprise 4.x
• Movable Type Advanced 5.x

バージョンの確認方法

Movable Type の管理画面に、システム管理者としてサインインし、システムメニューから『ツール』> 『システム情報』を選択して、Movable Type のバージョンを確認してください。

提供を開始するバージョン

問題の対象となるバージョンをお使いの場合は、2011年6月9日に公開された、以下の修正済みのバージョンのいずれかにアップグレードしてください。

• Movable Type Open Source 4.291
• Movable Type Open Source 4.361
• Movable Type Open Source 5.051
• Movable Type Open Source 5.11
• Movable Type 4.291 (Professional Pack, Community Pack を同梱)
• Movable Type 5.051 (Professional Pack, Community Pack を同梱)
• Movable Type 5.11 (Professional Pack, Community Pack を同梱)
• Movable Type Enterprise 4.291
• Movable Type Advanced 5.051
• Movable Type Advanced 5.11

以下のページよりダウンロード可能です。

Movable Type ライセンスをお持ちの方

• シックス・アパート ユーザーサイト

個人ライセンスでお使いの方

• 個人ライセンス（無償）ダウンロード

オープンソース版をお使いの方

• Movable Type Open Source Project (MTOS-5.11-ja.zip, MTOS-5.051-ja.zip, MTOS-4.291-ja.zip)

Movable Type 4.361は、英語サイトから入手してください。

新たに実装された機能

以下の環境変数が、Movable Type 5.11, 5.051, 4.361, および 4.291 に追加されました。

• DeniedAssetFileExtensions が新しく追加されました。
• AssetFileExtensions が、Movable Type 4.291 と 4.361に追加されました。（Movable Type 5.01 以降のバージョンには、すでに実装されています。）

これらの環境変数をmt-config.cgiに記述すると、ユーザーのファイル・アップロード時のチェックに利用されます。コンマ区切りのリストで、ファイルの拡張子を指定します。正規表現を使用することも可能です。

DeniedAssetFileExtensions はブラックリストです。この環境変数で指定した拡張子のファイルを、ユーザーはアップロードすることができません。
初期値は、 "ascx,asis,asp,aspx,bat,cfc,cfm,cgi,cmd,com,cpl,dll,exe, htaccess,htm,html,inc,jhtml,js,jsb,jsp,mht,mhtml,msi,php,php2,php3,php4, php5,phps,phtm,phtml,pif,pl,pwml,py,reg,scr,sh,shtm,shtml,vbs,vxd" です。
これらのファイルのアップロードを許可したい場合は、許可するファイルの拡張子を削除した、独自のリストを指定する必要があります。

AssetFileExtensions はホワイトリストです。この環境変数で指定した拡張子のファイルのみを、ユーザーはアップロードすることができます。初期値は「指定しない」です。例えば、画像と動画ファイルのみアップロードを許可したい場合、以下のような独自のリストを指定します。
"gif,jpe?g,png,bmp,tiff?,mp3,ogg,aiff,wav,wma,aac,flac,m4a,mov, avi,3gp,asf,mp4,qt,wmv,asx,mpg,flv,mkv,ogm"

同一の拡張子を、DeniedAssetFileExtensions と AssetFileExtensions の両方で指定した場合は、DeniedAssetFileExtensions が優先され、ユーザーはその拡張子のファイルをアップロードすることができません。

その他の変更点

mt-add-notify.cgi をパッケージから削除しました。このcgiプログラムは、現在のMovable Typeの機能、およびテンプレートでは使用されていません。上書きアップグレードをする場合には、手動で該当のcgiプログラムを削除してください。

SingleCommunity環境変数が"1"に設定されている場合、コメント投稿者の承認と禁止をするためには、システム管理者の権限が必要です。これは、コメント投稿者を承認/禁止すると、Movable Type内のすべてのブログで反映されるためです。個々のブログ毎に、コメント投稿者の承認/禁止をおこないたい場合は、SingleCommunity環境変数に"0"を指定してください。

mt-cp.cgi からMovable Typeにユーザーを登録するときに、blog_id パラメーターが必須となりました。登録画面をカスタマイズしている場合はご注意ください。

修正された問題点

以下の問題点が、Movable Type 5.11, 5.051, 4.361, および 4.291 で修正されました。

• 106228 ウェブページ管理の権限を持っていても、ウェブページ保存時にエラーが発生する
• 106241 メソッド呼び出しの修正

以下の問題点が、Movable Type 5.11 および 5.051 で修正されました。

• 106229 ウェブサイト管理の権限を持っていてもウェブサイト設定の保存時にエラーが発生する

以下の問題点が、Movable Type 5.11 で修正されました。

• 106223 インストール時のウェブサイト作成画面で特定のタイムゾーンを選択すると次の画面に進めない
• 106206 MTSubCategories などのタグで sort_method モディファイアが正常に動作しない
• 106238 インストール時のウェブサイト作成画面で UTC-0 を選択すると Timezone が正常に保存されない
• 106239 ブログ設定画面で Timezone のバリデーションが正常に動作しない
• 106240 ブログ作成画面で Timezone のバリデーションが正常に動作しない

コミュニティーからの貢献

FogBugzを通じて、パッチおよび、バグレポートを提供してくださったコミュニティーメンバーのお名前は以下の通りです。皆様のご協力に感謝いたします。

• Hajime Fujimoto (106206)
• Taku Amano (106238, 106239, 106240)

また、脆弱性に関するレポートをいただいた、Alfasado Inc.、および他の報告者の方々のご協力に感謝いたします。