Movable Type 6.6.0 リリースノート
これまでに発見または、報告された多くの問題を解消しています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。
新機能・改善された機能
- [MTC-26528] リッチテキストエディタで表組み機能が使えるようになりました
- [MTC-27218] run-periodic-tasks で起動するタスクを制御するための機能拡張を行いました。
- [MTC-27190] フォーマットが改行を変換のとき、li ボタンを押すと無駄な改行とスペースが入る動作を改善しました
- [MTC-27135] MTクラウド: ImageDriver の設定の MT 環境変数での上書きに対応しました
- [MTC-27130] MT::Util::Log の設定がない場合はログを標準エラーに出力するようにしました
- [MTC-27119] Digest::SHA、Digest::MD5 がインストールされていない環境向けに Pure Perl 実装にフォールバックできるように対応しました
- [MTC-27063] 再構築時にファイルを削除する場合にはログに出力するようにしました
- [MTC-27011] PHP 7.4に対応しました
- [MTC-27006] Movable Type Advancedで Oracle を利用するとき、DBHost に localhost 以外を指定できるようにしました。
- [MTC-26629] サーバー配信で require_ssl_reuse=YES に対応しました
- [MTC-10962] MySQL の文字コード utf8mb4 に対応し、絵文字を利用できるようにしました。
変更された機能
- [MTC-27196] メールの文字コードのデフォルトを UTF-8 に変更しました
- [MTC-27256] composer.json と composer.lock を削除しました
- [MTC-27137] デバッグモードで利用していた DjDT を削除しました
- [MTC-27134] extlibに同梱されているモジュールの一部を更新しました
- [MTC-27120] サーバ配信の配信ファイルリストをサイトのエクスポートの対象から外しました。
- [MTC-27117] アニメーション GIF のサムネイル作成時には最初の画像のみを利用するようにしました
- [MTC-27116] ezsql を削除しました
- [MTC-27115] ADOdb を 5.20.16 に更新しました
- [MTC-27114] Smarty を 3.1.31 に更新しました
- [MTC-27103] Image::ExifTool を 11.85 に更新しました
- [MTC-26913] サービスが終了している更新通知先を削除しました
- [MTC-12579] グループ機能の実体のないメソッド定義を削除しました
- [MTC-7105] テンプレート一覧から不要なコードを削除しました
修正された問題
セキュリティ上の修正、改善
- [MTC-27147] __mode=rebuild のクロスサイトスクリプティングを修正しました - CVE-2020-5575
- [MTC-27146] __mode=start_rebuild のクロスサイトリクエストフォージェリに対応しました - CVE-2020-5576
- [MTC-27144] テンプレート一覧画面のクロスサイトスクリプティングを修正しました - CVE-2020-5575
- [MTC-27143] ログイン画面を経由したクロスサイトリクエストフォージェリに対応しました - CVE-2020-5576
- [MTC-27142] 二重拡張子の PHP ファイルがアップロードできてしまう問題を修正しました - CVE-2020-5577
- [MTC-27141] __mode=recover に存在したオープンリダイレクトの問題を修正しました - CVE-2020-5574
- [MTC-27140] __mode=start_rebuild ページのクロスサイトスクリプティングに対応しました - CVE-2020-5575
その他
- [MTC-27247] 利用できなくなった OpenID プロバイダの情報を非表示にしました
- [MTC-27243] MTクラウド: ディスク使用量計算時のエラーがでないように修正しました
- [MTC-25943] サイト作成時に警告が出る問題を修正しました
- [MTC-27184] サーバー配信でファイルの更新情報を正しく更新するように修正しました
- [MTC-27177] システムのサイト一覧で子サイトのソートをすると Invalid character value for cast specification エラーが出る問題を修正しました
- [MTC-27124] mt-wizard.cgiのDBモジュールのリンク先を修正しました
- [MTC-26951] jQuery のコンソールのアラートがでないように修正しました。
- [MTC-25376] 特定のMTタグでプレビュー内容と実際の出力内容が異なる問題を修正しました
- [MTC-24981] システムのユーザー一覧画面の「ユーザーの一括出力」と「ユーザーの一括登録」の並び順が入れ替わる問題を修正しました
- [MTC-13236] カスタムフィールド「埋め込みオブジェクト」に iframe が保存できない問題を修正しました
- [MTC-12652] データベース設定のエラーメッセージの余分な空白を削除しました
- [MTC-10820] Table Feature For TinyMCE のセルの属性画面内のプルダウンの項目名を修正しました
- [MTC-9429] アラートメッセージが文字化けする問題を修正しました
- [MTC-7280] ロールの新規作成時にロール名の重複チェックがされない問題を修正しました
- [MTC-7218] ウェブページの管理権限では作成・編集ページで新規フォルダ作成ができない問題を修正しました
次回以降のリリースで削除される予定の項目
- [MTC-27075] TypeKey 関連のモジュール、関数等を廃止または削除する
- [MTC-27296] Motion プラグインを削除する
- [MTC-27297] OpenID プラグインを削除する
- [MTC-26983] Crypt 関連のコードをコアから削除する
- [MTC-27074] MT::Util::perlsha1digest(_hex) を廃止する
- [MTC-27298] 新規の記事を公開したときの更新通知を廃止する
Thanks To
このリリースには Movable Type コミュニティーを始め、様々な方から報告された多くのバグ修正、パッチの提供が取り込まれています。パッチおよびレポートを提供してくださった方々の名前は以下の通りです。皆様のご協力に感謝します!(順不同、敬称略)
- 三井物産セキュアディレクション株式会社 米山 俊嗣、情報処理推進機構 IPA、JPCERT/CC, - MTC-27147、MTC-27146、MTC-27144、MTC-27143、MTC-27141、MTC-27140
- 三井物産セキュアディレクション株式会社 東内 裕二、情報処理推進機構 IPA, JPCERT/CC, - MTC-27142
- Lift - MTC-27141
- Homare Urayama - MTC-27099