INFOINFO
MAILMAIL

2008年12月 3日(水)

* MT3.38    [  Movable Type  ]

Movable Type においてクロスサイトスクリプティングによる脆弱性が確認されました。この問題に対処するため、Movable Type の修正バージョンを公開致します。脆弱性の修正バージョンとなりますので、アップデートを推奨致します。

 ってことで、MTのセキュリティアップデートが公開されたので、サクッと更新。といっても、いつも通り旧版(3.37)と差分を取ってみたら、更新されたのはわずかなファイルだけだったので、該当ファイルのみ入れ替えるという「よい子はマネしちゃいけません」な手段で(^^;)。
 で、MT3.37→3.38で更新されたのは、lib\MT\App\CMS.pmのみ、しかも、わずかに1行追加されただけだったり。あとはlib\MT.pm, php\mt.phpでバージョン番号表記だけが更新されたので、結局その3個だけ上書き更新して、インデックス・テンプレートの更新して無事にアップデート終了、と。

 んで、今回の更新を行うべく、MT3のサポートサイトに行ってみたら「パッケージのダウンロードは 2008年12月26日 にて終了します」の文字が躍ってたので、セキュリティアップデートも今回が最後ってことになりそうだなぁ(^^;)。
 ちょうどサーバOSの更新も考え中だから、これに合わせてMTも最新のver4に更新すっかなぁ。

[[[追記]]] MT3.37とMT3.38でのlib\MT\App\CMS.pmの差分。

--- CMS_337.pm     Wed Aug 06 01:28:04 2008
+++ CMS_338.pm     Thu Oct 16 19:11:02 2008
@@ -8730,6 +8730,7 @@
     my (@to_save, @data);
     my %param = %$list_pref;
     my $limit = $q->param('limit') || 125;     # FIXME: mt.cfg setting?
+    $limit =~ s/\D//g;
     my $matches;
     if (($do_search && defined $search) || $show_all || $do_replace) {
         my $api = $search_api->{$type};

 なお、この差分を適用したことで発生する不具合などに関しては、当方は一切関知しません。利用に際しては自己責任でお願いします。

Posted by “Lupin” on 2008/12/03 17:33:05
コメント (6件)

初めて投稿いたします。

バージョン3のダウンロード期限に気づかずに
3.37をそのまま使っています。

よろしければ3.37と3.38での
lib\MT\App\CMS.pmの差異を
具体的に示していただけないでしょうか?

コメント posted by “だす” on 2009/03/22 03:44:55

差分に関してはメールしました。

コメント posted by “Lupin” on 2009/03/22 09:21:25

さっそく差分を適用させていただきました。
ありがとうございました。

コメント posted by “だす” on 2009/03/22 11:36:16

初めて投稿いたします。

すでに投稿されている内容とまったく同じなのですが、
現在MT3.37を利用していて、なんとか3.38にアップ
したいと考えています。 いろいろウェブで探していたところ、
Lupinさんのブログにたどり着きました。

できましたら、差分を教えていただけないでしょうか。

宜しくお願い致します。

コメント posted by “pinpoint” on 2009/10/30 16:39:21

CMS.pmの差分を追記しました。
なお、上にも書きましたが、くれぐれも適用は自己責任で行ってください。

コメント posted by “Lupin” on 2009/10/31 15:42:39

CMS.pmの差分情報、大変助かりました。
ありがとうございました。

コメント posted by “pinpoint” on 2009/10/31 20:50:33
●コメント投稿
このエントリーにはコメント投稿できません。