シックスアパート株式会社にて「Movable Type 3.34日本語版」がリリース(2007年1月22日)されたました。
「Movable Type 3.34日本語版」の主な修正点は、3.33以降に発見されたセキュリティ上の不具合への対策と、FastCGIサポートの向上。
悪意のあるユーザーがこのセキュリティーホールを利用した場合、悪意のあるコードを実行される可能性。
【セキュリティホールについて】
内容:クロスサイトスクリプティングの脆弱性
ある種の不正なHTMLタグを入力することで、クロスサイトスクリプティングを可能にする不具合が存在。
MTCommentPreviewIsStaticの機能を不正に使用することで、クロスサイトスクリプティングを可能にする不具合が存在。
クロスサイトスクリプティング 【XSS】
------------
ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。
悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。
このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。
悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、「クロスサイト」の名がついている。
スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。
対策としては、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要である。
IT用語辞典 e-Wordsより
------------
また、「Movable Type 3.34日本語版」にて以下の修正がありました。
・index.htmlのヘルプリンクの修正
・FastCGIサポートの向上
・スキーマバージョンの訂正
・NoFollowプラグインの無効化またはアンインストールに伴うサニタイズ処理の不具合
・再構築オプションの表示
・プラグインのアップグレード機能の改善
Movable Type 3.34日本語版
セキュリティーの脆弱の発見なので至急アップデートする必要がありますね
「Movable Type 3.34日本語版」の主な修正点は、3.33以降に発見されたセキュリティ上の不具合への対策と、FastCGIサポートの向上。
悪意のあるユーザーがこのセキュリティーホールを利用した場合、悪意のあるコードを実行される可能性。
【セキュリティホールについて】
内容:クロスサイトスクリプティングの脆弱性
ある種の不正なHTMLタグを入力することで、クロスサイトスクリプティングを可能にする不具合が存在。
MTCommentPreviewIsStaticの機能を不正に使用することで、クロスサイトスクリプティングを可能にする不具合が存在。
クロスサイトスクリプティング 【XSS】
------------
ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。
悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。
このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。
悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、「クロスサイト」の名がついている。
スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。
対策としては、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要である。
IT用語辞典 e-Wordsより
------------
また、「Movable Type 3.34日本語版」にて以下の修正がありました。
・index.htmlのヘルプリンクの修正
・FastCGIサポートの向上
・スキーマバージョンの訂正
・NoFollowプラグインの無効化またはアンインストールに伴うサニタイズ処理の不具合
・再構築オプションの表示
・プラグインのアップグレード機能の改善
Movable Type 3.34日本語版
セキュリティーの脆弱の発見なので至急アップデートする必要がありますね