シックス・アパートは25日、ブログツール「Movable Type」に脆弱性が存在することを明らかにした。脆弱性の対策を行なった新バージョンを出荷する予定であるほか、出荷済みのMovable Type向けに、脆弱性を回避するためのプラグインを無償で配布する。
この脆弱性は、新着コメントのメール通知機能で発生するもの。特定の方法でコメントを投稿することで、コメント欄を使って第三者にメールを送信できてしまうという。なお、ブログサービス「TypePad」ではこの問題は発生しない。
本現象は、「メール通知」の設定がされており、「MailTransfer」の設定値が「sendmail」の場合に発生する。「MailTransfer」の初期設定は「sendmail」のため、メール通知を設定しているすべてのユーザーでこの現象が発生する可能性があるという。
シックス・アパートでは、オンライン上で提供しているMovable Type日本語版を、脆弱性への対策を施した「3.122」にアップデート。1月中に出荷予定だった「3.14」については、脆弱性に対応した上で「3.15」として改めてリリースする。3.15の提供時期は現在のところ未定。
また、Movable Typeの英語版「2.6x」、日本語版「3.01D」「3.121」向けにも、脆弱性を回避するための専用プラグインを提供する。専用プラグインはMovable Typeのサイトからダウンロードできる。本脆弱性は、バージョン「2.661」以前の英語版でも発生するが、以前のバージョンの対応は現在検討中。ただし、英語版の「2.661」では修正プラグインが動作することを確認しているという。
関連情報
■URL
Movable Type 日本語版サイト: 【重要】 Movable Typeの脆弱性と対策について
http://www.movabletype.jp/archives/2005/01/_movable_type.html
シックス・アパート
http://www.sixapart.jp/
( 甲斐祐樹 )
2005/01/25 20:09
- ページの先頭へ-
|